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二 主要 观点 


合 医疗 卫生 行业 史上 首次 超过 政府 、 金融 、 国防 、 能 源 、 电 信 等 领域 , 成 为 全 球 APT 活动 关注 的 首要 目标 。 
全 球 23.7% 的 APT 活动 事件 与 医疗 卫生 行业 相关 。 针 对 疾 控 与 防疫 机 构 、 病 毒 研究 机 构 、 疫 苗 研发 机 
构 和 其 他 相关 的 医学 研究 机 构 的 高 级 威胁 活动 持续 不 断 。 


售 中 国 首 次 超过 美国 、 韩 国 、 中 东 等 国家 和 地 区 ， 成 为 全 球 APT 活动 的 首要 地 区 性 目标 。 面 对 世界 百 
年 未 有 之 大 变局 ， 中 国 的 经 济 与 科技 发 展 ， 正 在 经 受 着 前 所 未 有 的 巨大 考验 。 针 对 中 国 领先 的 科研 机 构 、 
科技 企业 的 网 络 窃 密 活动 与 网 络 破坏 活动 持续 加 剧 。 


攻击 特点 ， 发 生 了 多 起 影响 深远 的 APT 攻击 事件 。 


售 0day 在 野 利 用 在 2020 年 持续 高 发 。 攻 击 者 选用 的 漏洞 目标 逐渐 从 Windows 下 的 原生 浏览 器 ， 向 
Chrome、Firefox 等 用 户 量 更 大 的 浏览 器 转移 ， 如 果 用 一 句 话 来 总 结 2020 年 的 0day 在 野 利用 情况 ， 
我 们 愿 称 之 为 “Chrome 漏洞 利用 年 ”。 


合 我 们 预测 ， 在 2021 年 ，APT 活动 将 呈现 出 如 下 六 个 趋势 : 疫苗 及 相关 产业 将 会 遭 到 持续 攻击 ;针对 


中 国 的 APT 行动 将 持续 加 剧 ; 远程 办 公 的 各 个 环节 都 将 遭受 APT 攻击 ; 地 区 冲突 将 引爆 更 激烈 的 网 络 战 ; 
网 络 武器 库 的 泄露 或 将 常态 化 ; APT 组 织 可 能 组 建 基于 5G 与 |Pv6 技术 的 物 联 网 僵尸 网 络 
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四 摘要 


售 2020 年 ， 奇 安信 威胁 情报 中 心 收录 了 高 级 威胁 类 公开 报告 共 642 篇 ， 涉 及 了 151 个 命名 的 攻击 组 织 
或 攻击 行动 ， 其 中 ， 提 及 率 最 高 的 五 个 APT 组 织 分 别 是 : Lazarus: 10.3%，Kimsuky: 7.8%， 海 莲花 : 

5.4%，Darkhotel: 4.8%， 功 灵 花 : 3.2%。 

售 本 次 报告 对 开源 情报 中 高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 进行 了 分 析 和 整理 ， 监 测 显 示 
高 级 威胁 攻击 活动 几乎 覆盖 了 全 球 绝 大 部 分 国家 和 地 区 。 其 中 ， 开 源 情报 中 提 太 率 最 高 的 五 个 受害 国家 
分 别 为 : 中 国 占 比 7.4%， 韩 国 : 6.6%， 美 国 : 4.9%， 巴 基 斯 坦 : 3.2%， 印 度 : 3.2%。 

售 中 国 首次 超过 美国 、 韩 国 、 中 东 等 国家 和 地 区 ， 成 为 全 球 APT 攻击 的 首要 地 区 性 目标 。 


令 医疗 卫生 行业 史上 首次 超过 政府 、 金融 、 国防 、 能源、 电信 等 领域 , 成 为 全 球 APT 活动 关注 的 首要 目标 。 


APT ee 
售 海 ) 母 过 花 组 织 依旧 是 东南 亚 地 区 最 为 ; 活跃 的 APT 组 织 。 
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第 六 章 2021 年 高 级 持续 性 威胁 预测 

一 、 疫 苗 及 相关 产业 将 会 遭 到 持续 攻击 

二 、 针 对 中 国 的 APT 行动 将 持续 加 剧 

三 、 远 程 办 公 各 个 环节 都 将 遭受 APT 攻击 

四 、 地 区 冲突 将 引爆 更 激烈 的 网 络 战 

五 、 网 络 武器 库 的 泄露 或 将 常态 化 

六 、APT 组 织 可 能 组 建 基于 56G 与 |PV6 技术 物 联 网 僵尸 网 络 
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第 一 章 全 球 高 级 持续 性 威胁 综述 


公开 来 源 的 APT 情报 (以 下 简称 “开源 情报 ”) 分 析 是 了 解 全 球 网 络 安全 研究 机 构 安 全 关注 ， 认 知 全 球 


高 级 持续 性 威胁 发 展 趋势 的 重要 手段 之 一 。2020 年 ， 奇 安信 威胁 情报 中 心 对 全 球 200 多 个 主要 的 APT 
类 情报 来 源 进 行 了 持续 监测 ， 监 测 内 容 包 括 但 不 限于 APT 攻击 组 织 报 告 、APT 攻击 行动 报告 、 疑 似 APT 
的 定向 攻击 事件 、APT 攻击 相关 的 悉 意 代码 和 漏洞 分 析 ， 以 及 我 们 认为 需要 关注 的 网 络 犯罪 组 织 及 其 相 
关 活动 。 但 由 于 来 源 众 多 ， 监 测 可 能 有 所 遗漏 ， 人 葡 请 谅解。 


本 章 内 容 及 结论 主要 基于 对 上 述 开源 情报 以 及 内 部 威胁 雷达 数据 的 整理 与 分 析 。 


一 、 全 球 高 级 威胁 研究 情况 


奇 安 信 威 胁 情报 中 心 在 2020 年 监测 到 的 高 级 持续 性 威胁 相关 公开 报告 总 共 642 篇 。 各 月 监测 数据 如 图 1.1 
所 示 。 


2020 年 全 球 每 月 公开 的 高 级 威胁 报告 数量 统计 
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会 图 1.1 2020 年 全 球 每 月 公开 的 威胁 报告 数量 统计 


二 、 受 害 目 标的 行业 与 地 域 


2020 年 ， 新 冠 疫情 席卷 全 球 ， 从 而 带 来 新 的 网 络 攻击 变化 。 通 过 开源 情报 并 结合 奇 安信 威胁 情报 中 
心 威胁 雷达 数据 显示 : 在 全 球 2020 年 披露 的 APT 相关 活动 报告 中 ， 涉 及 医疗 卫生 行业 的 事件 占 比 为 
23.7%， 其 次 是 政府 (包括 外 交 、 政 党 、 选 举 相 关 ) 22.5%， 人 金融 (包括 银行 、 证 券 、 数 字 货 币 等 ) 、 
教育 和 国防 (包括 军事 、 军 工 、 国 防 相关 ) 紧 随 其 后 。 这 也 是 医疗 卫生 行业 史上 首次 超过 政府 、 金 融 、 
国防 、 能 源 、 电 信 等 领域 ， 成 为 全 球 APT 活动 关注 的 首要 目标 。 
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2020 年 高 级 威胁 事件 涉及 行业 分 布 情况 


航空 1.5% 
半导体 2.4% 。 9 其 他 3.1% 
互联 网 3.2% 


医疗 23.7% 
科研 8.1% 


国防 9.4% 
- 高 级 威胁 事件 涉及 
行业 分 布 情 ; 


教育 12.8% 
政府 22.5% 


金融 13.3% 


全 图 1.2 2020 年 高 级 威胁 事件 涉及 行业 分 布 情况 


本 次 报告 对 开源 情报 中 高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 进行 了 分 析 和 整理 ， 监 测 显 示 高 级 
威胁 攻击 活动 几乎 覆盖 了 全 球 绝 大 部 分 国家 和 地 区 。 其 中 ， 开 源 情 报 中 提 太 率 最 高 的 五 个 受害 国家 分 别 
为 : 中 国 占 比 7.4%， 韩 国 : 6.6%， 美 国 : 4.9%， 巴 基 斯 坦 : 3.2%， 印 度 : 3.2%。 中 国 首次 超过 美国 、 
韩国 、 中 东 等 国家 和 地 区 ， 成 为 全 球 APT 攻击 的 首要 地 区 性 目标 。 
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会 图 1.3 2020 年 4 


高 级 威胁 针对 国家 / 地 区 分 布 情况 
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《 司 > 奇 安 信和 威胁 情报 中 心 


三 、 活 跃 高 级 威胁 组 织 情况 


本 次 报告 对 开源 情报 中 所 提 及 的 所 有 APT 组 织 及 相关 行动 进行 了 分 析 和 整理 。 其 中 ， 提 及 率 最 高 的 五 个 
APT 组 织 分 别 是 : Lazarus: 10.3%，Kimsuky: 7.8%, 海 莲花 : 5.4%，Darkhotel: 4.8%, 萝 灵 花 : 3.2%。 
图 1.4 给 出 了 2020 年 开源 情报 披露 的 活跃 APT 组 织 ， 字 体 越 大 ， 被 披露 次 数 越 多 。 
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会 图 1.4 2020 年 主要 APT 组 织 相关 报告 情况 统计 


四 、 高 级 威胁 年 度 活动 特点 


ED 疫情 热点 信息 成 APT 活动 常用 诱饵 


2020 年 ， 新 冠 肺炎 疫情 爆发 。 在 此 疫情 形势 下 ，APT 活动 的 活跃 程度 似乎 并 未 受到 影响 ， 反 而 借用 疫 
情 热点 事件 内 容 为 诱饵 的 攻击 活动 变 得 越发 频繁 。 


根据 奇 安信 威胁 情报 中 心 的 监测 ，2020 年 上 半年 ， 在 针对 我 国 的 高 级 威胁 活动 中 ， 就 已 经 出 现 了 大 量 
以 各 类 疫情 热点 信息 为 关键 词 的 诱饵 文件 诱骗 吸引 受害 者 打开 的 ， 含 有 恶意 程序 的 各 类 文档 ) 。2020 
年 3 月 下 旬 ， 奇 安信 曾 发 布 《COVID-19 | 新 冠 病毒 笼罩 下 的 全 球 疫情 相关 网 络 攻 击 分 析 报 告 》 一 文 ， 披 
露 了 2020 年 第 一 季度 疫情 相关 攻击 活动 。 
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而 到 了 2020 年 下 半年 以 后 ， 结 合 疫情 热点 发 送 鱼 叉 邮件 或 制作 诱饵 文件 ， 逐 步 成 为 了 全 球 高 级 持 
续 性 威胁 的 攻击 的 普遍 趋势 ， 针 对 我 国 的 相关 APT 活动 也 进一步 加 剧 。2020 年 年 中 ，“COVID-19 
treatment methods (新 冠 病毒 治疗 方法 ) ”等 内 容 在 APT 活动 中 最 为 常见 ; 而 到 了 2020 年末 含有 “covid 
vaccine (新 冠 病毒 疫苗 ) ”等 内 容 APT 组 织 诱饵 文件 在 国外 越 来 越 多 。 


1.5 所 示 为 红 雨 滴 团 队 根据 APT 攻击 活动 相关 的 诱饵 文件 热 词 制作 的 词 云图 。 
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全 图 1.5 相关 的 诱 乌 热 词 


需要 说 明 的 是 ， 尽 管 医疗 卫生 行业 是 2020 年 最 受 APT 组 织 关 注 的 行业 ， 但 结合 疫情 热点 信息 发 起 的 
APT 攻击 ， 并 非 只 是 针对 医疗 卫生 机 构 ， 在 针对 政府 机 构 和 国有 单位 进行 的 攻击 中 ， 攻 击 诱 乌 也 会 经 常 
会 使 用 “疫情 警告 通知 ”“ 返 乡 疫情 填报 ” “疫苗 注射 通知 ”等 内 容 。 


供应 链 和 远程 办 公 成 为 攻击 切入 点 


从 某 种 程度 上 说 ， 通 过 供应 链 发 起 的 攻击 ， 属 于 攻击 者 发 动 的 “ 降 维 打击 ”， 往 往 使 防守 方 束手无策 。 
2020 年 ， 供 应 链 攻击 已 经 成 为 全 球 APT 活动 的 流行 新 趋势 。 


常见 的 供应 链 攻击 有 三 种 方式 : 第 一 种 是 攻击 软件 供应 链 的 各 个 环节 ， 包 括 第 三 方 库 的 引用 、 开 发 人 员 、 
产品 构建 阶段 等 第 二 种 是 攻击 和 目标 相关 的 机 构 , 包 括 盯 供应 商 \ 软 件 供应 商 \ 硬 件 供应 商 、 合 作 伙伴 等 
第 三 种 是 针对 带 有 签名 的 合法 应 用 、 预 装 程序 植 入 后 门 ， 这 种 方法 能 够 实现 更 加 隐蔽 的 攻击 立足 效果 。 


对 于 软件 产品 来 说 ， 如 果 攻 击 者 在 源 代码 级 别 植 入 恶意 代码 ， 这 些 恶意 代 码 将 非常 难以 被 发 现 。 并 且 这 
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些 恶 意 代 码 在 披 上 正规 软件 厂商 的 合法 外 衣 后 ， 将 能 更 加 轻易 地 向 过 安全 软件 产品 的 检测 ， 往 往 会 长 时 
间 潜 伏 于 用 户 机 器 中 不 被 察觉 。2020 年 末 曝 光 的 流行 网 管 软件 厂商 SolarWinds 被 植 入 后 门 代码 就 属于 
这 类 攻击 中 的 经 典 案例 。 


奇 安 信 威 胁 情报 中 心 在 2020 年 未 还 发 布 了 软件 供应 链 来 源 攻 击 分 析 报告 ， 总 结 了 记载 详细 且 影 响 面 较 
大 的 供应 链 攻击 事件 。 例 如 ， 利 用 华硕 升级 程序 的 供应 链 攻击 事件 ShadowHammer 行动 ， 远 程 终端 管 
理工 具 Xshell 被 植 入 后 门 代码 事件 等 ， 均 是 针对 生产 公司 内 部 进行 入 侵 并 自 改 代码 ， 可 见 一 流 APT 组 
织 的 攻击 活动 趋势 。 


对 远程 办 公 相 关 的 软件 或 系统 发 起 攻击 ， 是 2020 年 全 球 APT 活动 的 又 一 大 特点 。 


新 冠 疫情 在 全 球 范围 的 蔓延 ， 导 致 很 多 公司 和 机 构 采用 了 远程 办 公 的 方式 。 很 多 远程 办 公 系统 需要 通过 
VPN 接 入 企业 内 部 网 络 ， 一 旦 VPN 的 软 硬 件 系统 出 现 安全 漏洞 ， 就 有 可 能 为 攻击 者 提供 重要 的 入 口 。 
只 不 过 从 历史 披露 的 APT 活动 来 看 , 利用 VPN 或 远程 访问 的 脆弱 性 作为 入 口 的 攻击 活动 一 直 比 较 少见 


但 是 ，2020 年 ， 利 用 VPN 漏洞 发 起 的 APT 攻击 非常 活跃 。 根 据 国外 安全 机 构 披露 ，APT 组 织 Fox 
Kitten 利用 多 个 VPN 漏洞 向 多 个 目标 机 构 发 起 攻击 ， 其 中 包括 针对 Pulse Secure (CVE-2019-11510) 、 
Fortinet FortiOS (CVE-2018-13379) 和 Palo Alto Networks VPN (CVE-2018-1579) 等 VPN 系统 的 安 
全 漏洞 。 相 关 活 动 持续 了 整个 2020 年 。 


此 外 ，2020 年 2-4 月 ，Darkhotel 利用 我 国 某 著名 VPN 系统 的 安全 漏洞 进行 攻击 。 该 组 织 的 行动 主要 
针对 基层 单位 。 


除了 VPN 之 外 , 2020 年 , 某 全 球 知名 视频 会 议 软 件 也 被 APT 组 织 重 打包 , 在 国内 外 多 个 下 载 站 进行 投放 。 


定向 勒索 威胁 成 为 APT 活动 新 趋势 


定向 勒索 威胁 是 指 某 些 网 络 犯罪 组 织 通 过 对 特定 机 构 的 长 期 定向 渗透 ， 窃 取 机 密 数 据 ， 随 后 使 用 勒索 软件 
加 密 相关 数据 ， 再 以 向 公众 披露 相关 数据 相 威胁 ， 向 特定 机 构 勒 索 赎金 的 一 种 特殊 的 勒索 软件 攻击 活动 。 


网 络 犯罪 组 织 在 瞄准 一 个 目标 后 ， 会 进行 为 期 数 月 的 网 络 渗透 活动 。 常 见 攻击 手法 包括 社会 工程 学 

络 漏洞 入 侵 、 内 鬼 入 侵 等 。 在 成 功 入 侵 后 ， 攻 击 者 会 先 将 该 目标 的 数据 全 部 资 走 。 在 完成 备份 后 ， 再 释 
放 勒 索 软 件 ， 将 目标 的 数据 全 部 加 密 。 此 后 ， 勒 索 软 件 “ 运 营 商 ” 会 将 被 入 侵 目标 的 部 分 信息 公示 于 众 ， 
并 威胁 目标 必须 缴纳 赎金 ， 否 则 将 曝光 目标 的 所 有 数据 。 图 1.6 所 示 为 某 勒 索 软 件 组 织 公开 受害 者 部 分 
数据 的 网 站 示例 。 
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New clients 


E ml 5 
collection 


Lock date 

Phone 

Address 

Full dump YES 180 GB 


DDOS No 


受害 者 部 分 数据 的 网 站 示例 


图 1.6 勒索 软件 组 织 公 


由 于 这 些 针对 性 勒索 攻击 的 攻击 过 程 符合 高 级 、 持 续 性 等 威胁 特征 ， 因 此 我 们 目前 认为 : 由 某 些 犯罪 组 
织 发 动 的 定向 性 勒索 软件 威胁 活动 ， 已 经 成 为 一 种 全 球 APT 活动 新 形式 和 新 趋势 。 


事实 上 ， 早 在 一 两 年 前 ， 定 向 勒索 威胁 的 事件 就 已 经 偶 有 发 生 。 但 是 ， 一 方面 ， 当 时 这 种 勒索 方式 与 传 
统 勒索 软件 攻击 (只 勒索 ， 不 窍 密 ， 也 不 泄密 ) 相 比 ， 发 生 几 率 较 低 ; 另 一 方面 ， 人 们 对 这 种 攻击 的 整 
个 过 程 也 缺乏 深入 的 研究 ; 所 以 ， 人 们 并 没有 把 这 种 攻击 方式 列 入 高 级 威胁 活动 分 析 的 对 象 。 


但 是 ， 在 2020 年 ， 定 向 勒索 攻击 已 经 逐渐 转变 为 一 种 新 的 流行 趋势 。 尤 其 是 自从 疫情 爆发 开始 ， 攻 击 
频率 就 一 直 处 于 持续 平稳 增长 态势 。 同 时 ， 安 全 工作 者 们 经 过 深入 研究 ， 发 现 这 种 攻击 具有 明显 的 高 级 
性 和 持续 性 。 也 正 是 基于 这 些 变化 ， 奇 安信 威胁 情报 中 心 已 经 将 此 类 威胁 纳入 APT 活动 的 监测 与 研究 范 
围 。 目前 , 比较 有 名 的 定向 勒索 攻击 组 织 有 : DopplePaymer、 Egregor、 Netwalker、 REvil (Sodinokibi) 、 
Ryuk 等 。 


还 有 一 点 需要 说 明 : 监测 显示 ， 目 前 使 用 勒索 软件 进行 定向 攻击 的 ， 不 仅仅 是 某 些 网 络 犯罪 组 织 ， 还 有 
某 些 具有 国家 背景 的 攻击 组 织 ， 甚 至 是 有 网 军 的 参与 。 有 国外 研究 机 构 认 为 ， 某 些 国家 的 政府 甚至 已 经 
将 定向 勒索 活动 作为 一 种 增加 财政 收入 的 基本 手段 。 
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第 二 章 针对 不 同行 业 的 高 级 持续 性 威胁 


APT 威胁 是 定向 性 的 ， 其 会 选择 攻击 的 行业 、 地 域 、 目 标 以 及 要 达到 的 目的 ， 这 些 是 由 APT 组 织 在 实施 
行动 前 制定 的 需要 达到 的 阶段 性 目标 和 动机 所 决定 的 。 从 历史 经 验 来 看 ，APT 组 织 在 一 段 时 间 内 会 保持 
其 攻击 目标 行业 的 专注 程度 ， 这 可 能 也 与 攻击 组 织 在 针对 新 的 行业 实施 攻击 时 ， 需 要 时 间 收 集 和 熟悉 目 
标 ， 并 弥补 自身 能 力 与 目标 行业 的 缺失 部 分 ， 以 及 构建 相应 的 攻击 武器 库 。 


2019 年 ， 金 融 、 能 源 和 电信 这 三 个 行业 是 APT 威胁 的 主要 行业 目标 。 但 在 2020 年 ， 受 疫情 影响 ，APT 
组 织 的 关注 度 发 生 了 转变 ， 医 疗 卫生 行业 成 为 APT 组 织 关 注 的 首要 目标 ,与 疫苗 研制 、 抗 疫 措施 等 相关 
的 活动 非常 活跃 。 此外, 网 络 安全 、 互联 网 、 心 片 与 半导体 等 行业 也 成 为 2020 年 APT 活动 关注 的 新 兴 热 点 ， 
出 现 了 很 多 新 的 攻击 特点 ， 发 生 了 多 起 影响 深远 的 APT 攻击 事件 。 


一 、 医 疗 卫生 行业 


在 新 冠 疫情 出 现 之 前 ， 针 对 医疗 卫生 行业 的 网 络 攻击 ， 主 要 来 自 网 络 黑 产 ， 主 要 目的 是 窃取 信息 、 黄 牛 
倒 号 和 欺诈 勒索 (勒索 软件 ) 等 。 


但 自 2020 年 年 初 开 始 ， 随 着 新 冠 疫情 的 全 球 泛滥 ， 针 对 疾 控 与 防疫 机 构 、 病 毒 研究 机 构 、 疫 苗 研发 机 
构 和 其 他 相关 的 医学 研究 机 构 的 高 级 威胁 活动 持续 不 断 ， 并 使 整个 医疗 卫生 行业 成 为 2020 年 APT 活动 
关注 的 焦点 。 


2020 年 1 月 未 开始 ， 来 自 南亚 、 东 南亚 方向 的 多 个 APT 组 织 ， 率 先 针对 我 国医 学 类 高 校 和 医学 科研 机 
构 展 开 攻 击 。2020 年 7 月 ， 美 国 CISA (网 络 安全 和 基础 设施 安全 局 ) 发 布 报告 称 : 来 自 东 欧 的 APT 组 
织 正在 大 规模 窃取 疫苗 数据 ;) 其 中 ， 著 名 的 APT29 组 织 进 行 了 针对 美国 、 英 国 和 加 拿 大 的 新 冠 研究 和 疫 
苗 相关 的 恶意 网 络 活动 。 


此 外 ，EMA 《欧洲 药品 管理 局 ) 于 12 月 9 日 在 其 网 站 上 发 布 了 一 条 简讯 ， 透 露 EMA (欧洲 药品 管理 局 ) 
遭 到 网 络 攻 击 ; 德国 疫苗 开发 商 BioNTech 也 发 表 声明 ， 由 该 机 构 向 监管 机 构 提 交 的 ， 其 与 辉瑞 公司 合 
作 开 发 的 新 冠 疫苗 BNT162b2 的 相关 资料 ， 被 存储 在 EMA 服务 器 上 ， 其 中 部 分 资料 已 被 黑客 入 侵 非法 
获取 。 


事实 上 ,与 疫苗 相关 的 APT 活动 ， 不 仅仅 局 限 在 疫苗 研发 机 构 。 与 疫苗 相关 的 其 他 行业 也 正 遭 受 网 络 攻 
击 。2020 年 10 月 ， 有 APT 组 织 假冒 生物 医学 公司 Haier Biomedical， 向 与 新 冠 疫苗 冷 链 相 关 的 组 织 
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机 构 发 起 了 攻击 。 


奇 安信 威胁 情报 中 心 发 现 ， 在 2020 年 未 曝 出 的 SolarWinds 供应 链 事件 中 ， 我 国 部 分 与 疫苗 相关 行业 
机 构 也 受到 了 波及 。 


二 、 网 络 安全 行业 


网 络 安全 公司 会 给 各 类 大 型 机 构 进 行 安全 服务 ， 如 果 能 够 掌握 安全 公司 的 安全 设备 0day 漏洞 ， 或 者 是 
获取 到 安全 公司 的 权限 ， 即 可 入 侵 客 户 或 者 是 查看 其 客户 的 机 密 资料 。 只 不 过 ， 由 于 网 络 安全 公司 的 自 
我 防御 能 力 往往 相对 较 强 ， 攻 击 网 络 安全 公司 对 于 APT 组 织 来 说 也 有 较 大 的 风险 ， 所 以 以 往 针 对 安全 公 
司 的 APT 活动 相对 较 少 。 


但 是 ， 在 2020 年 ， 受 全 球 政治 、 经 济 、 军 事 等 大 环境 剧烈 变化 的 影响 ， 针 对 网 络 安全 公司 的 定向 攻击 
活动 显著 增多 ， 这 也 引起 了 网 络 安全 界 的 普遍 关注 。 特 别 是 由 2020 年 末 火 眼 武 器 库 失 窍 事件 引发 的 一 


系列 相关 事件 ， 最 为 引 人 关 注 。 此 外 ， 国 内 某 安 全 公司 的 VPN 软件 ， 在 2020 年 也 遭受 了 攻击 并 被 APT 
组 织 利用 。 相 关 情 况 已 在 上 一 章 中 有 所 论述 。 


火 眼 公司 网 络 武器 库 失窃 事件 


2020 年 12 月 8 日 , 美国 著名 网 络 安全 公司 FireEye ( 火 眼 ) 发 布 通告 称 ， 其 遭 到 某国 家 级 APT 组 织 入 侵 ， 
并 窃取 了 其 红 队 渗透 测试 工具 集 。 通 告 提 到 ， 该 国家 级 APT 组 织 的 主要 目的 是 查看 火 眼 的 客户 资料 。 


被 窃取 的 工具 中 含有 火腿 自 己 编写 的 黑客 工具 以 及 漏洞 利用 代码 。 此 外 ， 奇 安信 威胁 情报 中 心 分 析 火 眼 
公布 的 检测 规则 发 现 ， 公 网 还 存在 火 眼 仿 冒 其 他 APT 组 织 编写 的 木马 。 可 想 而 知 ， 这 些 工 具 落 入 APT 
组 织 手 中 无 疑 将 成 为 另 一 个 大 杀 器 。 

在 后 续 调 查 中 ， 火 眼 为 了 查 明 攻 击 者 是 如 何 攻 入 其 防御 系统 过 程 中 ， 发 现 了 其 公司 购置 的 SolarWinds 
相关 软件 中 存在 后 门 ， 并 通报 了 此 事 。 


SolarWinds 供应 链 事件 


SolarWinds 是 一 家 全 球 知 名 的 网 管 软件 服务 商 。2020 年 12 月 13 日 被 通报 存在 后 门 代码 后 ， 
SolarWinds 对 全 球 客户 展开 排查 ， 经 排查 发 现 ， 微 软 、 火 眼 、 思 科 、VMware 等 大 公司 均 被 攻击 者 通过 
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该 软件 作为 入 口 而 成 功 渗透 。 此 外 ， 美 国 财政 部 、 商 务 部 等 多 个 政府 机 构 也 可 能 已 经 沦陷 ; 世界 500 强 
企业 中 ， 也 有 超过 9 成 受到 影响 ; 全 球 至 少 30 万 家 大 型 政 企 机 构 受 到 影响 。 


SolarWinds 被 自 改 后 的 后 门 代码 被 命名 为 SUNBURST (Solorigate) 。 该 后 门 代码 会 经 过 层 层 检测 
环境 是 否 安全 后 ， 再 采用 自 定 义 DGA 算法 进行 域名 生成 ， 并 通过 DNS 协议 进行 网 络 请 求 。 在 获取 到 
CNAME 返回 的 IP 后 ，SUNBURST 会 对 攻击 目标 进行 判断 ， 主 要 通过 内 散 的 IP 段 进 行 黑白 名 单 过 滤 。 
若 目 标 符 合 则 会 下 发 第 二 阶段 的 木马 ， 该 木马 被 命名 为 Teardrop。 


奇 安 信 威 胁 情报 中 心 通 过 对 SUNBURST 后 门 代码 进行 分 析 ， 解 码 了 大 量 DGA 域名 数据 ， 发 现 许 多 著名 
的 大 型 企业 都 存在 受 影 响 的 SolarWinds 相关 版 本 软件 。 奇 安信 威胁 情报 中 心 将 相关 研究 成 果 发 布 到 推 
特 平台 ， 被 多 家 国外 著名 安全 机 构 在 文章 中 引用 。 相 关 推 特 文章 及 被 引用 情况 如 图 2.1 所 示 。 


RedDrip Team 
@RedDrip7 


MCP 
By decoding the #DGA domain names, we discovered 
nearly a hundred domains suspected to be attacked by 
#UNC2452 #SolarWinds, including universities, 
governments and high tech companies such as @Intel 
and @Cisco. Visit our github project to get the script. 


github.com/RedDrip7/SunBu... 
一 妇 闪 广 


下 午 7:19 . 2020 年 12 月 16 日 : Twitter Web App 


844 转 淮 ”132 引用 推广 1620 专 欢 次 数 


奇 安信 威胁 情报 中 心 推 特 账号 发 布 的 DGA 域名 解码 推 文 被 多 个 国外 安全 厂商 在 文章 中 引用 
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西方 安全 界 普遍 认为 ， 本 次 事件 的 幕后 攻击 者 是 著名 的 APT29。 著 名 俄罗斯 安全 厂商 卡巴 斯 基 也 发 布 报 
告 称 , SolarWinds 事件 中 的 SUNBURST 有 恶意 软件 代码 与 Turla 组 织 使 用 的 Kazuar 木马 存在 代码 相关 性 。 


除了 核心 后 门 代码 外 ，SolarWinds 供应 链 攻 击 事件 中 实际 上 还 涉及 另 一 个 后 门 代码 , 该 后 门 是 一 个 .NET 


Webshell， 被 命名 为 SUPERNOVA。 该 攻击 的 幕后 攻击 者 目前 被 认为 与 SUNBURST 的 幕后 攻击 者 来 源 
不 同 。 


三 、 互 联网 行 


2020 年 ， 某 些 互 联网 行业 企业 也 被 APT 组 织 盯 上 ， 成 为 了 被 攻击 的 目标 。 


网 络 社区 


2020 年 ， 多 个 推 特 名 人 大 V 账户 遭 黑 客 攻 击 ， 发 送 比 特 币 诈骗 信息 ， 事 后 复 盘 发 现 黑客 通过 客服 渠道 
作为 入 口 进 行 社会 工程 学 攻击 。 相 关 活 动 虽然 不 是 知名 APT 组 织 所 为 ， 但 其 攻击 过 程 也 具有 了 明显 的 高 级 
性 和 持续 性 。 


除了 网 络 社区 本 身 存在 漏洞 问题 而 被 入 侵 外 ， 有 多 个 APT 组 织 在 2020 年 频繁 使 用 某 知名 招聘 社区 平台 


进行 钓鱼 攻击 。 例 如 ，Lazarus 组 织 通过 在 某 全 球 知名 招聘 社区 注册 账号 ， 伪 造成 攻击 目标 希望 应 聘 公 
司 的 员工 ， 再 通过 平台 渠道 发 送 带 有 恶意 代码 的 表格 让 目标 点 击 填 写 。 


即时 通信 


WhatsApp、iMessage 的 0day 漏洞 被 网 络 军火 商 NSO Group 进行 售卖 ， 中 东 地 区 国家 情报 机 构 使 用 
这 些 漏洞 进行 攻击 和 监控 。 


以 Lazarus 组 织 为 例 ， 由 于 WhatsApp 仅 需 手机 号 码 即 可 添加 好 友 ， 当 该 组 织 黑客 在 招聘 社区 平台 上 获 
取 到 其 计划 诱骗 目标 的 手机 号 后 ,会 通过 该 App 作为 通信 入 口 进行 交谈 , 并 在 交谈 过 程 中 发 送 恶 意 软 件 。 
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四 、 半 导体 行业 

半导体 行业 由 于 其 技术 高 新 性 ， 并 且 产业 极 具 供 应 链 属性 《上 游 制造 半导体 设备 与 材料 ， 中 游 进行 心 
设计 ， 下 游 进行 晶 圆 代 工 和 封装 测试 ) ， 若 其 中 运作 的 一 环 受 到 网 络 攻击 ， 那 么 全 球 的 半导体 供应 链 将 
受到 影响 。2020 年 ， 全 球 多 家 心 片 公 司 和 晶 圆 代 工厂 遭受 高 级 威胁 攻击 导致 停产 ， 数 据 泄露 严重 。 


晶 圆 代 工 类 : 晶 圆 代 工 三 龙头 X-FAB 被 定向 性 勒索 攻击 ， 系 统 加 密 导致 停产 。 以 色 列 晶 圆 代 工商 高 塔 
(TowerJazz) 半导体 遭受 APT 攻击 ， 服 务 器 和 制造 部 门 停止 运转 。 


心 片 行业 : 英特尔 公司 20GB 心 片 数 据 泄露 ， 内 含 机 密 文件 以 及 设计 图 。 
半导体 厂商 : 台湾 多 家 半导体 厂商 被 APT 组 织 攻 击 ， 这 些 组 织 的 目的 是 窃取 有 关 集 成 电路 芯片 、 软 件 开 
发 工具 包 、 集 成 电路 设计 、 源 代码 等 。 韩 国 半导体 知名 企业 SK 海 力士 遭受 定向 性 勒索 软件 攻击 ， 数 气 


遭 泄 露 。 


从 这 几 起 事件 可 以 看 出 ，2020 年 针对 半导体 行业 的 APT 攻击 ， 不 仅仅 局 限于 窃取 技术 资产 ， 敛 财 也 是 
其 重要 目的 。 
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第 三 章 不 同 地 区 活跃 的 高 级 攻击 组 织 


地 域 分 析 是 APT 研究 的 重要 方面 。 一 方面 ， 同 一 地 域 范 围 的 APT 组 织 和 
其 可 能 针对 相似 的 攻击 目标 或 者 使 用 类 似 的 TTP; 另 一 方面 ， 同 一 地 区 发 
政治 因素 密切 相关 ， 这 对 于 分 析 APT 活动 的 意图 和 动机 很 有 帮助 。 


APT 活动 常常 出 现 一 些 重 欧 ， 
生 的 很 多 APT 活动 ， 都 与 地 缘 


3.1 列举 了 2020 年 全 球 各 地 区 主要 活路 的 APT 组 织 ， 全 球 主要 APT 组 织 列表 也 可 以 参见 附录 1。 


站 东欧 APT 组 织 ”攻击 能 


APT28 十 二 二 
Turla 条 中 中 
Gamaredon a 

Energetic Bear 十 十 十 


Lazarus Group i 
Group 123/APT37 ++ 
Kimsuky Ea 


毒 云 芯 时 
© aas 四 


东亚 APT 组 织 攻击 能 力 


Darkhotel ok 


中 东 APT 组 织 攻击 能 力 


东南 亚 APT 组 织 。 攻击 能 力 

MuddyWater Ey 本 

APT34/ OiIRig 十 十 海 莲花 / APT32 十 十 

APT33 + 十 

Stealth Falcon/ 站 中 

—FruityArmor 

SandCat 十 十 南亚 APT 组 织 攻击 能 力 APT 组 织 。 攻击 能 力 

Re 摩 河 草 言 眼 庆 + 

和 和 三 曹 灵 花 / BITTER Regin 

详 崇 狮 肚 脑 虫 / Donot Team 

Le * | 响尾蛇 / SideWinder 
魔 罗 检 

备注 : 
攻击 能 力 级 别 圆圈 大 小 
+++ 具备 相当 复杂 的 自 定义 攻击 框架 和 丰富 0day 漏 洞 攻击 资源 。 代表 地 缘 性 APT 组 织 近 年 来 活跃 频 度 ， 主 要 根据 公开 披露 事件 和 攻 寺 
++ ”具备 成 熟 的 自制 攻击 载荷 ， 漏 洞 利用 和 攻击 技术 ， 攻 击 活跃 。 图 例 
十 备 攻击 武器 的 组 合 使 用 和 定制 能 力 ， 缺 乏 完 备 的 自制 攻击 工具 或 攻击 不 活跃 。 疑似 地 域 归 属 〈@) 未知 地 域 归属 


全 图 3.1 全 球 APT 组 织 分 布 情况 
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活动。 
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东亚 地 区 的 组 织 与 行动 


East ASsla 


2020 年 被 公开 披露 最 多 的 三 个 东亚 地 区 活跃 的 APT 组 织 为 Lazarus、Kimsuky 和 Darkhotel。 其 中 ， 
Lazarus 一 直 作 为 东亚 地 区 最 为 活跃 的 APT 组 织 ， 其 目标 是 全 球 性 的 ， 攻 击 行业 也 涉及 极 广 。Kimsuky 
组 织 则 更 专注 于 政府 相关 部 门 ， 多 次 以 美国 大 选 为 诱饵 开展 攻击 。 表 3.1 所 示 为 东亚 地 区 主要 活跃 APT 


组 织 简 介 。 


东亚 APT 组 织 攻击 能 力 

Lazarus Group 十 十 

Group 123/ APT37 十 十 

Kimsuky 十 

Darkhotel 十 十 十 

毒 云 藤 十 谷 

蓝 宝 菇 + 
EE 
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B23 有 720I4 016 


Kimsuky Darkhotel Lazarus 

最 早 活 动 时 间 : 2013 最 早 活 动 时 间 : 2004 最 早 活 动 时 间 : 2009 

公开 披露 时 间 : 2013 公开 披露 时 间 : 2014 公开 披露 时 间 : 2016 

该 组 织 致力 于 以 韩国 智库 、 工 业 、 2014 年 披露 的 攻击 组 织 ， 擅 长 利用 浏 该 组 织 最 早 的 攻击 活动 可 以 追 
核电 运营 商 和 统一 部 为 间谍 活动 目 览 器 的 0day 和 Nday 漏洞 开展 攻击 溯 到 2009 年 ， 包 括 针 对 韩国 的 
标 ， 并 且 与 Group 123 组 织 存在 一 活动 。 最 早 活路 于 2004 年 DarkSeoul,2014 年 针对 SONY 事件 。 
定 关联 近 几 年 来 ， 该 组 织 主 要 针对 全 球 银行 、 
加 密 货币 等 目标 开展 攻击 活动 


A 
和 


v 


Group123 毒 云 芯 

最 早 活动 时 间 : 2012 最 早 活动 时 间 : 2007 

公开 披露 时 间 : 2016 公开 披露 时 间 : 2018 

Group 123 主要 针对 韩国 的 公共 和 私 毒 云 蕨 是 在 2018 年 被 奇 安信 公开 披 
营 部 门 。2017 年 ， 其 目标 范围 扩展 到 露 的 APT 组 织 ， 该 组 织 长 期 针对 国内 
了 朝鲜 半岛 以 外 的 地 区 ， 包 括 日 本 、 国防 、 政 府 、 科 技 和 教育 领域 的 重要 
越南 和 中 东 ， 并 扩展 到 了 更 广泛 的 行 机 构 实 施 网 络 间谍 攻击 活动 ， 最 早 的 
业 垂 直 领 域 ， 包 括 化 工 、 电 子 、 航 空 活动 可 以 追溯 到 2007 年 

航天 、 汽 车 和 医疗 保健 实体 


v v 


会 表 3.1 东亚 活跃 APT 组 织 简介 


" APT 组织 : Lazarus 


Lazarus 一 直 被 认为 是 一 个 来 自 东亚 地 区 的 具有 东亚 某国 政府 背景 的 APT 组 织 ， 同 时 也 一 直 被 安全 厂商 
作为 疑似 该 国 APT 活动 归属 总 称 。 某 些 国外 安全 厂商 也 将 其 该 组 织 针 对 金融 、 银 行 行业 的 攻击 归属 作为 
一 个 子 组 织 来 跟踪 。2020 年 , 该 组 织 仍旧 针对 全 球 性 的 金融 、 银行 、 数 字 货 币 、 政府 等 行业 开展 攻击 活动 。 
针对 数字 货币 的 攻击 尤为 明显 ， 其 多 次 通过 制造 虚假 的 交易 场所 网 站 分 发 恶意 代码 。 同 时 ， 据 公开 情报 
透露 ， 常 年 针对 数字 货币 的 “危险 密码 ”组 织 也 与 Lazarus 存在 关联 。 


2020 年 ，Lazarus 组 织 被 披露 通过 多 个 知名 社交 媒体 ， 创 建 多 个 虚假 账号 组 成 社交 圈 ， 以 此 伪装 为 波音 


等 著名 航空 航天 等 军工 单位 人 员 ， 对 相关 领域 专业 人 士 发 送 附 有 恶意 代码 的 招聘 信息 。 奇 安信 威胁 情报 
中 心 整理 了 部 分 Lazarus 组 织 利 用 招聘 信息 的 诱 乌 文档 如 图 3.2 所 示 。 
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ld GENERAL DY 
1 


Director, Busi K LEILBFAAM/ 
Developmen 加 SS 


Company: The Boeing Company | 


Department: Human Resources 


全 图 3.2 Lazarus 组 织 发 布 的 招聘 诱饵 文档 


Description 
2020 


BAE Systems plc 


BAE SYS 


Lazarus 组 织 在 2020 年 被 发 现 开 始 采用 信用 卡 钓鱼 、 勒 索 软 件 、 供 应 链 攻击 等 新 型 攻击 方式 。 作 为 最 
老牌 且 活 跃 的 APT 组 织 之 一 ， 除 了 更 新 其 攻击 手法 以 外 ， 该 组 织 攻击 工具 集 也 保持 了 频繁 开发 与 更 新 。 


表 3.2 列举 了 2020 年 度 Lazarus 被 披露 的 新 增 网 络 武 器 库 。 


攻击 工具 名 称 功能 说 明 

MATA 针对 Windows、macOS、Liunx 三 个 平台 的 攻击 框架 
BISTROMATH 一 款 全 功能 RAT 

SLICKSHOES 通常 作为 Loader 或 者 Dropper 程序 
CROWDEDFLOUNDER 内 存 驻 留 RAT 

HOTCROISSANT 植 入 程序 ， 网 络 流量 利用 XOR 加 密 

ARTFULPIE 通过 获取 和 注入 DLL 载荷 

BUFFETLINE 植 入 程序 ， 使 用 RC4 编码 和 PolarSSL 混淆 网 络 通信 


会 表 3.2 2020 年 度 Lazarus 新 增 网 络 武器 库 


" APT 组 织 : Group123 


Group123 作为 另 一 个 东亚 老牌 APT 组 织 ，2020 年 度 被 披露 活动 较 少 。 


而 与 Group123 具有 相同 背景 


归属 的 Kimsuky、Konni 开始 活动 频繁 。Kimsuky 组 织 擅 长 利用 政治 热点 新 闻 作为 诱 乌 开 展 攻 击 活动 。 
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例如 ， 在 美国 大 选 期 间 ， 多 次 以 投票 预测 、 拜 登 政策 相 关 大 选 信息 为 诱饵 开展 攻击 。 同 时 ， 据 韩国 安全 
公司 发 现 ，Konni 组 织 与 Kimsuky 存在 基础 设施 重 芍 。 


a APT 组 织 : Darkhotel 


Darkhotel 是 东亚 地 区 另 一 个 活跃 的 APT 组 织 ， 其 长 期 针对 包括 中 国 在 内 的 多 个 东亚 国家 实施 攻击 行动 ， 
擅长 利用 0day 和 1day 漏洞 实施 攻击 。 该 组 织 2020 上 半年 多 次 被 监测 到 针对 我 国境 内 目标 实施 攻击 ， 

其 中 主要 包括 利用 了 两 个 浏览 器 0day 漏洞 (CVE-2020-0674、CVE-2019-17026) 针对 我 国政 府 机 构 实 
施 APT 攻击 ， 以 及 利用 国内 某 知 名 安全 公司 VPN 漏洞 针对 境内 多 个 机 构 实施 APT 攻击 活动 。 奇 安信 威 


一 GE 一 GE 一 一 人 ED 一 一 人 EEC 


2020/09/27 


《t> 奇 安 信和 威胁 情报 中 心 


3) 202011104 


GE 一 一 人 ET 


披露 来 源 : 360 披露 来 源 : 奇 安信 披露 来 源 : 微软 披露 来 源 : ESET 
APT 组 织 : Lazarus APT 组 织 : Kimsuky APT 组 织 : Lazarus APT 组 织 : Lazarus 
目标 行业 : 数字 货 伪装 热点 : 美国 大 选 预测 目标 行业 : 新 冠 疫苗 研 目标 地 域 ; 韩国 

目标 地 域 : 韩国 发 机 构 攻击 方式 : 供应 链 攻击 


GEIDIB 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 
伪装 热点 : 区 块 链 公司 
欠 款 确认 书 


会 表 3.3 2020 年 东亚 地 区 热点 攻击 活动 


2020 年 ， 奇 安信 威胁 情报 中 心 命名 了 一 个 新 的 华语 APT 组 织 活动 : 血 黄 草 活 动 ， 该 活动 由 毒 云 蔷 发 起 ， 
此 次 攻击 活动 趋向 渔网 化 ， 通 过 批量 与 定向 投 方 相 结 合 ， 采 取信 息 探测 的 方式 辅助 下 一 步 的 定点 攻击 。 


披露 来 源 : 360 
APT 组 织 : Darkhotel 
使 用 “双星 ”0Day 漏 
洞 (CVE-2019-17026、 
CVE-2020-0674) 针对 
中 国 的 攻击 活动 


M 
Le) 2020/04/30 


披露 来 源 : 奇 安信 
APT 组 织 : Lazarus 
伪装 热点 : 波音 公司 
招聘 


M 


2020105113 


披露 来 源 : ESET 
APT 组 织 : Darkhotel 
目标 环境 : 隔离 网 络 
使 用 框架 : Ramsay 


全 :< 


2020/08/13 


披露 来 源 : Clearsky 
APT 组 织 : Lazarus 


伪装 热点 : 招聘 
目标 行业 : 航空 ， 军 事 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 


利用 居民 登记 卡 为 诱饵 
的 攻击 活动 


Y 


2020104114 


披露 来 源 : 奇 安 信 
APT 组 织 : Lazarus 
伪装 热点 : 仁川 广 域 市 
紧急 调查 冠状 病毒 


站 
(2) 2020/05/27 


披露 来 源 : ESTsecurity 
APT 组 织 : Lazarus 
目标 地 域 : 韩国 

目标 行业 : 证 券 


站 
(3) 2020/07/22 


披露 来 源 : 卡巴 斯 基 
APT 组 织 : Lazarus 


目标 平台 : macOS、 
Linux、Windows 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 
利用 新 冠 肺炎 为 诱饵 的 
攻击 


了 
(2) 2020/04/10 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 
伪装 热点 : 国民 议会 议 
员 选 举 


MM 

2 202010517 
披露 来 源 : ESET 
APT 组 织 : Lazarus 
目标 行业 : 航空 ， 军 事 


Mh 
[23) 2020/07/20 


披露 来 源 : 微 步 在 线 
APT 组 织 : Lazarus 
目标 平台 : macOS 
目标 行业 : 数字 货 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 


伪装 热点 : 美国 国务 卿 
来 信 


v 


[23) 2020/04/06 
披露 来 源 : 360 
APT 组 织 : Darkhotel 
攻击 入 口 : VPN 漏洞 
目标 地 域 : 中 国 


站 
(2) 2020/06/19 


披露 来 源 : ESTsecurity 
APT 组 织 : Kimsuky 


伪装 热点 : 蓝 宫 


Mh 
(23) 2020/07/06 


披露 来 源 : Sansec 
APT 组 织 : Lazarus 


攻击 手法 : 信用 卡 钓鱼 
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采 
主要 分 为 三 种 攻击 类 型 : 钓鱼 网 站 钓鱼 、 诱 饵 引诱 钓鱼 和 恶意 附件 式 钩 鱼 攻击 ， 根 据 我 们 观察 ， 血 茜草 
活动 中 伪装 了 多 个 具备 鲜明 特色 的 角色 ， 如 智库 类 目标 、 军 民 融 合 产业 园 、 军 事 杂 志 、 公 务 员 类 猎头 公 
司 等 等 。 如 图 3.6 展示 了 血 黄 草 活动 中 常用 的 攻击 手法 。 


血 茜草 活动 : 


军事 传媒 


OM QQ 邮箱 发 来 的 超大 附 介 | 
= Naf 


@ 批量 钓鱼 网 站 制作 Ee 
一 


血 苗 草 


伪造 身份 


®D 合 


智库 军民 融合 产业 园 猎头 公司 高 等 教育 


钓鱼 网 站 


伪造 身份 


旋 胀 理 噬 此 次 甲 区 各 性交 


和 科研 


IM 人 i198 号 -中转 站 文件 Ea 


单 击 以 跟踪 链接 
职 负 与 对 应 菏 一 一 览 表 .7Z 
我 司 羔 职 职 独 与 对 应 就 酬 一 览 表 .doc (32.50K, 元 PR 着 ) 82KB ”2020 年 8 月 27 日 下午 5:30 到 期 
进入 下 载 页 面 


| 二 EE 


全 图 3.3 血 茜草 活动 常用 攻击 手法 
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东南 亚 地 区 的 组 织 与 行动 
Southeast Asia 


海 莲花 组 织 依然 是 在 东南 亚 地 区 最 为 活路 的 APT 组 织 ， 其 在 2020 年 依然 保持 较 高 的 活动 频率 。 该 组 织 
已 经 由 过 去 的 网 络 间 谍 活 动 延 伸 至 商业 情报 穷 取 领域 ， 如 互联 网 行业 。 并 首次 发 现 了 该 组 织 开 始 在 受害 
者 计算 机 中 部 署 挖 矿 程序 。 


东南 亚 APT 组 织 ”攻击 能 力 


海 莲花 /APT32 


《 晤 > 奇 安信 威胁 情报 中 心 


a。 APT 组 织 : 海 莲 花 


海 莲花 
公开 披露 时 间 2015 年 
最 早 活动 时 间 2012 守 


海 莲 花 组 织 是 由 奇 安信 威胁 情报 中 心 最 早 披露 并 命名 的 一 个 APT 组 织 ， 其 自 2012 年 4 
月 起 ， 该 组 织 针 对 中 国政 府 、 科 研 院 所 、 海 事 机 构 、 海 域 建设 、 航 运 企业 等 相关 重要 领域 
展开 了 有 组 织 、 有 计划 、 有 针对 性 的 长 时 间 不 间断 攻击 


会 表 3.4 东南 亚 主要 APT 组 织 简介 


海 莲花 组 织 在 2020 年 全 年 持续 不 断 地 针对 我 国 各 行 各 业 重 点 单位 进行 攻击 ， 攻 击 单位 不 局 限于 政府 部 
委 、 国 防 、 海 事 等 单位 ， 还 有 一 些 大 型 互联 网 公司 也 惨遭 毒手 。 


从 2020 年 年 初 疫情 爆发 开始 ， 海 莲花 就 开始 针对 我 国医 疗 行业 单位 进行 邮件 投递 攻击 ， 制 造 带 有 探 针 
追踪 的 邮件 ， 如 图 3.4 所 示 。 


| 冠状 病毒 实时 更 新 : i 
1MB 


krpt.dll 


冠状 病毒 实时 更 新 : 中 国正 在 追踪 来 自 湖北 的 旅行 者 .exe 
附件 : 白 利用 


会 图 3.4 海 莲花 组 织 利 用 疫情 信息 投递 的 邮件 


2020 年 下 半年 海 莲花 组 织 继续 针对 我 国 单位 继续 发 起 攻击 ， 且 其 攻击 木马 开始 定制 化 ， 如 采用 受害 者 
计算 机 用 户 名 等 信息 加 密 恶 意 载 位 ,采用 “ 白 利用 ”的 方式 加 载 执行 恶意 载荷 等 。 表 3.5 列举 了 部 分 奇 
安信 发 现 的 海 莲 花 组 织 针 对 国内 的 白 利用 。 
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KVHistory.exe( 江 民 ) 
AlibabaProtect.exe( 阿里 ) 
AlilM.exe( 淘宝 旺旺 ) 
SogoulMEBroker.exe (搜狗 输入 法 ) 
LBTWizGi.exe (罗技 组 件 ) 
SearchProtocolHost.exe 


SogouCloud.exe (搜狗 输入 法 ) 


会 表 3.5 海 莲花 组 织 常 用 白 利 用 


ll 


[ey 


恶意 DLL 
KVinstall.dll 
Report.dll 
UClientStartup.dll 
UClientStartup.dll 
LBTServ.dll 


TmDbgLog.dll 


LBTServ.dll 


2020 年 ， 海 莲花 组 织 除 针对 中 国境 内 开展 攻击 活动 以 外 ， 也 被 公开 披露 了 多 起 针对 柬埔寨 、 和 孟加拉 国 


等 国家 地 区 的 攻击 活动 。 奇 安信 威胁 情报 中 心 整理 了 2020 年 度 海 莲花 组 


所 示 。 


so 2020/03/16 


披露 来 源 : 微 步 在 线 


3) 2020/04/29 


披露 来 源 : 卡巴 斯 基 


APT 组 织 : 海 莲花 APT 组 织 : 海 莲 花 

海 莲花 组 织 利 用 新 冠 肺 PhantomLance 行动 ， 

炎 疫 情 、 禽 流感 的 攻击 与 海 莲花 组 织 存在 基础 

活动 设施 重 又 的 Android 端 
Y Y 攻击 活动 


会 表 3.6 2020 年 东南 亚 地 区 热点 攻击 活动 


GEZIEZB 


披露 来 源 : 微 步 在 线 
APT 组 织 : 海 莲花 
该 组 织 利用 白 利 用 ， 
(SFX) RAR 自 解压 文件 
和 携带 宏 代码 的 MIME 格 
Y 式 文档 方式 的 攻击 活动 


3) 2020112110 


披露 来 源 : Facebook 
APT 组 织 : 海 莲花 


立 
织 音 


了 分 热点 攻击 活动 如 表 3.6 


GE 


披露 来 源 : Volexity 
APT 组 织 : 海 莲花 


利用 社交 媒体 分 发 钓鱼 
网 站 的 攻击 行动 


约 2020/11/27 
披露 来 源 : 趋势 科技 
APT 组 织 : 海 莲花 


facebook 删除 海 莲花 组 海 莲 花 新 型 mac0S 后 
织 相关 账户 ， 并 将 其 与 门 分 析 
越南 IT 公司 关联 起 来 
Mh 
20 全 球 高 级 持续 性 威胁 (APT) 2020 年 度 报 告 
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南亚 地 区 的 组 织 与 行动 
South Asia 


南亚 APT 组 织 攻击 能 


摩 启 草 十 十 
草 灵 花 / BITTER 十 


肚 脑 虫 / Donot Team + 
响尾蛇 / SideWinder ++ 
魔 罗 检 
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2013 2016 


v 


摩 词 草 

最 早 活动 时 间 : 2009 

公开 披露 时 间 : 2013 

最 早 由 Norman 了 曝光， 具备 Windows、 
Android、macOS 三 平台 攻击 能 力 ， 
主要 针对 中 国 、 巴 基 斯 坦 等 亚洲 地 区 
国家 进行 网 络 间谍 活动 ， 以 窃取 敏感 


信息 为 主 


v 


蔓 灵 花 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2016 

曾 对 中 国 、 巴 基 斯 坦 等 相关 目标 实施 
APT 攻击 。 奇 安信 在 跟踪 该 组 织 后 续 
过 程 种 发 现 其 使 用 InPage 漏洞 ， 并 
与 摩 启 草 、 魔 罗 权 存 在 关联 


5 


魔 罗 检 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2016 

主要 针对 南亚 各 国 的 政府 、 军 事 等 行 
业 目 标 进 行 攻击 。 其 攻击 会 部 署 定 制 
后 门 及 定制 文件 窃取 器 从 受害 者 的 系 
统 中 窃取 文件 


v 


Transparent Tribe 
最 早 活动 时 间 : 2012 
公开 披露 时 间 : 2016 


主要 瞄准 印度 的 军队 或 者 相关 组 织 
展 攻 击 活动 


肚 脑 虫 

最 早 活动 时 间 : 2016 

公开 披露 时 间 : 2017 

以 巴基斯坦 等 南亚 地 区 国家 政府 作为 
其 攻击 目标 ， 攻 击 工 具 主 要 使 用 yty 
和 EHDevel 两 套 恶意 框架 


人 


Sidewinder 

最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2018 

主要 针对 包括 巴基斯坦 和 中 国 在 内 的 
东南 亚 国家 ， 常 使 用 已 知 漏洞 (CVE- 
2017-11882) 开展 攻击 活动 


会 表 3.7 南亚 地 区 主要 APT 组 织 简介 


南亚 APT 组 织 大 多 利用 携带 公式 编辑 器 漏洞 的 诱饵 文档 为 攻击 入 口 ， 同 时 都 基本 具备 针对 Windows 和 
Android 平 台 的 攻击 工具 。 其 中 摩 启 草 、 蔓 灵 伦 、 响 尾 屁 、 魔 罗 检 等 组 织 , 长 期 针对 中 国境 内 开展 攻击 活动 。 
肚 脑 虫 组 织 则 更 多 专注 于 巴基斯坦 等 周边 国家 。 


"APT 组 织 : 摩 词 草 


摩 启 草 组 织 擅长 利用 时 事 热点 为 诱饵 开展 攻击 活动 ，2020 年 疫情 初期 ， 摩 词 草 组 织 是 被 公开 披露 的 第 
一 个 利用 疫情 诱 乌 针对 我 国 重点 医疗 政府 单位 的 APT 组 织 。 


3.5 所 示 为 摩 启 草 组 织 利用 疫情 信息 针对 国内 的 部 分 样本 诱 乌 信 息 。 


o 
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0 


《be%》 奇 安信 威胁 情报 中 心 


了 Mailings Review View 


imesNewRom "1 "AA| A | 加 汪 * 汪 "和 宗 "| 率 这 | 外 | 有 Fee AaBb¢ AaBbce AAL AaBbC, aogbceo. sagbcep. |- 


BIUrhxx|A- 多 -A- 国 目 EI TNormal |‖」TNo spaci,。 Heading1 Heading2 Title Subtitle 。 Subtle Em... Emphasis = 


G Paragraph 太 Styles 


音符 : 请 尽快 完成 以 下 内 容 


你 提供 的 信息 将 有 助 于 加 强 疫情 监测 和 报告 工作 ， 所 有 同志 和 工作 人 员 必 
须 在 最 近 15 天 内 提供 他 们 到 武汉 的 旅行 或 与 来 自 武汉 的 人 见面 的 信息 。 如 
不 符合 上 述 条 件 ， 请 提交 没有 详细 资料 的 表格 。 


请 填写 以 下 资料 : 


言 息 你 遇 到 的 人 的 细节 
姓名 当前 位 置 姓名 当前 位 置 


本 人 确认 此 表格 所 提供 的 资料 真实 、 完 整 及 准确 。 


提交 


会 图 3.5 摩 词 草 组 织 疫情 样本 诱 乌 信 息 


"APT 组 织 : 墓 灵 花 & 响尾蛇 


在 2020 年 ， 整 体 而 言 ， 蔓 灵 伦 组 织 与 响 尾 蛇 组 织 攻 击 手法 未 发 生 较 大 改变 。 值 得 注意 的 是 ， 响 尾 蛇 组 
织 在 利用 疫情 诱 乌 针对 我 国 顶 尖 高 校 的 攻击 活动 中 ， 首 次 使 用 了 IE 浏览 器 漏洞 CVE-2020-0674。 


= APT 组 织 : 魔 罗 要 


2020 年 , 奇 安信 威胁 情报 中 心 曝光 了 一 个 新 命名 的 该 地 区 APT 组 织 一 魔 罗 机 。 该 组 织 活跃 在 南亚 地 区 ， 
一 直 持 续 针 对 中 国 、 巴 基 斯 坦 等 国 的 国防 、 军 工 、 外 交 等 单位 进行 攻击 ， 擅 长 制造 钓鱼 网 站 并 配合 鱼 叉 
邮件 进行 攻击 ， 恶 意 软 件 主要 针对 Windows 和 Android 双 平 台 。 图 3.6 所 示 为 魔 罗 机 组 织 攻击 手法 流 
程 图 。 


0 o 
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伪造 网 易 邮箱 或 目标 单位 的 钓鱼 网 站 


1 163"% at 1 

1 = 和 

1 二 堆 码 芋 孙 他 苛 中 已 综 录 1 

伪造 邮件 内 容 ' 时 5 下 先 ， 

国人 潮湿 天 气 衣服 怎么 都 苯 不 干 ? @163.com | 
| 物 消毒 烘 干 机 | 
! 你 好 x 了 二 = 


， ”请 在 24 小 时 内 确认 您 的 邮件 账户 ， 以 使 用 不 间断 的 邮件 服务 。 
2018-2020 年 1 ”如 果 未 确认 ， 则 您 的 邮件 服务 可 能 会 中 断 或 账户 可 能 被 阻止 以 供 进一步 使 用 。 
1 


1 ”确认 您 的 账户 


如 果 已 确认 ， 请 忽略 。 
邮件 系统 管理 员 : xxxxx@ 攻 击 目 标 单位 邮箱 POP-SSL/SNTP-SSL :攻击 目标 单位 邮箱 域名 


邮件 地 址 A 
编译 时 间 
_D 竺 
EXE 
2020 年 ee 一 
Rs | Projectltibbar 


魔 罗 APT 组 织 


会 图 3.6 魔 罗 检 组 织 攻击 手法 流程 图 


表 3.8 总 结 了 上 述 南 亚 APT 组 织 在 2020 年 度 的 主要 攻击 活动 。 


E2020/02/04 (2) 2020/02/24 (2s) 2020/02/27 


3) 2020/04128 


披露 来 源 : 360 披露 来 源 : 微 步 在 线 披露 来 源 : 腾讯 披露 来 源 : 奇 安信 

APT 组 织 : 摩 词 草 APT 组 织 : 摩 词 草 APT 组 织 : 墓 灵 花 APT 组 织 : 肚 脑 虫 

借 新 冠 疫情 对 我 国医 疗 利用 升级 的 武器 库 针对 莫 灵 花 (BITTER)APT 组 针对 南亚 周边 国家 地 区 

机 构 发 起 定向 攻击 我 国境 内 的 攻击 织 2020 年 初 针对 中 国 的 攻击 活动 分 析 
境内 最 新 攻击 活动 


GE 一 一 GE 一 一 GE 一 一 GE 


披露 来 源 : 安 恒 披露 来 源 : 奇 安信 披露 来 源 : Bitdefender 披露 来 源 : 奇 安信 
APT 组 织 : 摩 词 草 APT 组 织 : 肚 脑 虫 APT 组 织 : 墓 灵 花 APT 组 织 : 响尾蛇 
武器 库 新 增 CVE-2019- 数字 武器 库 升级 ， 增 加 移动 武器 库 更 新 制作 新 冠 疫情 相关 诱 乌 
0808 提 权 模块 Loader 以 绕 过 杀 软 检测 针对 周边 国家 的 攻击 
也 了 Mh Vv 
伏 2020/09/01 党) 2020/09/14 (2) 2020/10/19 的 2020/10/22 
披露 来 源 : 奇 安信 披露 来 源 : 奇 安信 披露 来 源 : 360 披露 来 源 : 奇 安信 
APT 组 织 : 摩 词 草 APT 组 织 : 莫 灵 花 APT 组 织 : 响尾蛇 APT 组 织 : 墓 灵 花 
利用 边境 争端 问题 的 攻 疑似 BITTER 组 织 利用 利用 WebSocket 隧道 的 利用 CHM 文件 针对 境内 
击 活动 LNK 文件 的 攻击 活动 新 型 攻击 样本 分 析 的 攻击 活动 
Y M4 Y Mh 
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————— ED 


《t> 奇 安信 威胁 情报 中 心 


GE 一 一 人 ED 一 一 人 ET 


披露 来 源 : 奇 安信 披露 来 源 : 思科 披露 来 源 : 360 披露 来 源 : 安 恒 
APT 组 织 : 响尾蛇 APT 组 织 : 肚 脑 虫 APT 组 织 : 肚 脑 虫 APT 组 织 : 响尾蛇 
利用 巴 菲 双 边 协议 为 诱 利用 Google Firebase 针对 巴基斯坦 军事 人 员 以 一 带 一 路 为 诱饵 针对 
饵 的 攻击 Cloud Messaging 进行 的 最 新 攻击 活动 我 国 的 攻击 

传播 


GE 


2) 2020/12/04 


会 表 3.8 南亚 地 区 热点 攻击 活动 披露 来 源 : 趋势 科技 披露 来 源 : 深信 服 
APT 组 织 : 响尾蛇 APT 组 织 : 响尾蛇 
针对 阿富汗 ， 巴 基 斯 坦 伪装 成 NDC 印度 国防 学 
攻击 活动 综述 院 的 攻击 


”APT 组 织 : 透明 部 落 (Transparent Tribe) 


2020 年 ， 南 亚 另 一 APT 组 织 透明 部 落 (Transparent Tribe) 也 活动 频繁 ， 年 初 多 利用 新 冠 肺 炎 相 关 
信息 为 诱饵 针对 印度 实施 攻击 。 奇 安信 威胁 情报 中 心 移动 安全 团队 在 2020 年 8 月 首发 披露 了 该 组 织 
在 移动 端的 攻击 活动 。 另 有 分 析 显 示 ， 伪 装 成 响尾蛇 组 织 针对 印度 的 Sidecopy 行动 疑似 也 与 透明 部 
落 存 在 联系 。 
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东欧 地 区 的 组 织 与 行动 
Fastern Europe 


东欧 地 区 老牌 APT 组 织 APT28、APT29、Turla 依旧 保持 着 其 高 超 的 技术 性 与 隐匿 性 ， 鲜 有 公开 报 
告 对 其 进行 披露 。 同 时 ， 诸 如 针对 东欧 机 构 攻 击 长 达 九 年 的 XDSPY 组 织 ， 针 对 工业 的 恶意 软件 集 
MontysThree 开始 进入 视野 。 表 3.9 所 示 为 东欧 地 区 活跃 的 组 织 简介 。 


ft 东欧 APT 组 织 。 ”攻击 能 力 
APT28 


Turla 
Gamaredon 


Energetic Bear 


一 一 2020/01/04 
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TREE TECN rr 


APT29 APT28 

最 早 活动 时 间 : 2008 最 早 活动 时 间 : 2004 

公开 披露 时 间 : 2013 公开 披露 时 间 : 2014 

该 组 织 的 主要 目标 为 西亚 、 中 亚 、 东 非 该 组 织 历史 活动 非常 频繁 ， 主 要 针对 
和 中 东 的 政府 部 门 和 机 构 。 其 被 认为 在 政府 ， 军 事 和 安全 组 织 ， 特 别 是 与 高 
2015 年 夏季 攻击 了 美国 DNC 加 索 和 北约 结盟 的 国家 开展 网 络 间谍 
活动 


B2015 和 72020 


Gamaredon XDSpy 

最 早 活动 时 间 : 2013 最 早 活动 时 间 : 2011 

公开 披露 时 间 : 2015 公开 披露 时 间 : 2020 

主要 针对 乌克兰 执法 部 门 、 政 府 机 构 其 针对 东欧 和 巴尔 干 地 区 ， 主 要 目标 
和 军事 力量 进行 间谍 活动 和 情报 收集 为 政府 、 军 队 、 外 交 部 以 及 私营 公司 
等 攻击 。Operation Armageddon 行 
动 与 该 组 织 有 关 


Turla 

最 早 活动 时 间 : 2007 

公开 披露 时 间 : 2014 

该 组 织 拥 有 非常 复杂 的 TTP， 其 受害 
者 覆盖 超过 45 个 国家 ， 常 针对 政府 、 
大 使 馆 、 军 事 、 教 育 、 研 究 和 制药 公 
司 实施 鱼 又 和 水 坑 攻 击 


EA 
3 


v 


v 


M 
会 表 3.9 东欧 地 区 主要 APT 组 织 简介 


"APT 组 织 : WELLMESS 


2020 和 年， 美国、 加拿大 等 国家 五 部 门 联合 发 布 NELLMESS 针对 新 冠 肺炎 疫苗 相关 机 构 的 攻击 ， 并 称 其 
与 APT29 存在 关联 。 


奇 安信 威胁 情报 中 心 整理 了 2020 年 度 东 欧 APT 组 织 热点 攻击 活动 ， 如 表 3.10 所 示 。 


3) 2020/02/15 


GE 


披露 来 源 : Area 1 Security 披露 来 源 : SentinelOne 披露 来 源 : 奥地利 外 交 部 披露 来 源 : ESET 

APT 组 织 : APT28 APT 组 织 : Gamaredon APT 组 织 : Turla APT 组 织 : Turla 

针对 乌克兰 能 源 公 司 长 期 针对 乌克兰 安全 机 奥地利 成 功 防御 Turla 攻 亚美尼亚 几 个 网 站 被 披 

Burisma Holdings 及 其 构 的 攻击 击 ， 并 破解 了 Turla 投递 露 被 Turla 实施 水 坑 攻 

子 公司 和 合作 伙伴 的 员 载荷 的 加 密 通 信 方 式 击 ， 植 入 js 并 分 发 恶意 
Y 工 的 电子 邮件 凭据 窃取 Flash 更 新 
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披露 来 源 : 趋势 科技 
APT 组 织 : APT28 

自 2019 年 5 月 以 来 ， 
APT28 组 织 就 一 直 在 滥 
用 受 感 染 的 电子 邮件 地 
址 来 发 送 凭据 网 络 钓鱼 
Y 垃圾 邮件 


3) 2020/07/14 


披露 来 源 : Telsy 

APT 组 织 : Turla 

TURLA 更 新 其 武器 库 : 
NEWPASS” 恶 意 软 件 投入 
攻击 


M 


GE 


披露 来 源 : CISA 等 
APT 组 织 : WELLMESS 


美国 ， 加 拿 大 等 国家 五 
部 门 联合 发 布 APT29 
针对 新 冠 疫 苗 开发 机 构 
的 攻击 活动 ， 并 提出 
WELLMESS 与 APT29 
Y 存在 联系 


2020104115 


披露 来 源 : ESET 

APT 组 织 : Energetic Bear 
针对 旧金山 两 个 机 场 实 
施 了 APT 攻击 活动 


M 


es) 2020/07/01 1 


披露 来 源 : 360 
APT 组 织 : APT28 


利 针对 欧洲 的 攻击 活动 


M 


全 2020/08/18 
披露 来 源 : 奇 安信 
APT 组 织 : APT28 

奇 安信 披露 APT28 针对 
阿塞拜疆 知名 人 士 的 定 
向 攻击 活动 


会 表 3.10 2020 东欧 APT 组 织 热点 攻击 活动 
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GE 


披露 来 源 : 思科 

APT 组 织 : PoetRAT 
利用 俄语 打包 软件 制作 
的 PoetRAT 针对 阿 塞 拜 
疆 的 攻击 活动 


M 


[23) 2020/06/18 
披露 来 源 : ESET 
APT 组 织 : InvisiMole 
东欧 地 区 活跃 的 InvisiMole 疑 
似 与 Gamaredon 开展 活动 ， 
在 某 受害 者 机 器 上 ， 研 究 人 
员 发 现 Gamaredon Group 
的 .NET 下载 器 下 载 执行 了 
Y InvisiMole 组 织 的 TCP 下 载 器 


(2) 2020/09/10 
披露 来 源 : 微软 
APT 组 织 : APT28 
安全 厂商 称 APT28 参 
与 针对 美国 大 选 的 攻击 
活动 


2020105114 


披露 来 源 : Leonardocompany 
APT 组 织 : Turla 


“Penquin_x64“ 变 种 
分 析 ， 国 外 安全 厂商 称 
当今 欧洲 和 美国 仍 有 数 
十 个 Internet 主机 服务 


Y 受到 影响 


(2) 2020/05/26 
披露 来 源 : ESET 

APT 组 织 : Turla 

利用 COMRAT 新 版 本 针 
对 多 个 欧洲 国家 会 议 与 外 
交 部 的 攻击 活动 


M 


约 2020/10/02 

披露 来 源 : ESET 

APT 组 织 : XDSPY 
针对 东欧 政府 机 构 长 达 
九 年 的 攻击 活动 
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中 东 地 区 的 组 织 与 行动 
Middle East 


中 东 地 区 具有 着 极为 复杂 的 政治 外 交 局 势 和 宗教 文化 差异 。 该 地 区 充满 了 各 种 疑似 政府 背景 的 情报 监控 
和 网 络 间谍 活动 。2020 年 ， 奇 安信 威胁 情报 中 心 披露 了 在 中 东 地 区 活跃 的 两 个 新 APT 组 织 一 诺 崇 师 和 
利刃 座 。 


中 东 APT 组 织 ”攻击 能 力 


MuddyWater 
APT34/ OilRig 
APT33 

Stealth Falcon/ 


-FruityArmor 
SandCat 
利刃 座 

诺 崇 狮 

双 尾 蝎 


其 中 最 为 典型 的 事件 案例 还 是 奥地利 政府 针对 Turla 组 织 在 2020 年 1 月 针对 其 国务 院 网 络 的 攻击 事件 
的 响应 和 防御 ， 奥 地 利 政府 最 终 成 功 防御 相关 攻击 活动 ， 并 破解 了 Turla 投递 载荷 的 加 密 通信 方式 。 
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性 威胁 (APT) 2020 年 度 报 告 


2015 2016 2017 


双 尾 蝎 

最 早 活动 时 间 : 2011 

公开 披露 时 间 : 2015 

该 组 织 攻击 范围 主要 为 中 东 地 区 ， 其 针 
对 Windows 和 Android 双 平 台 采 取 鱼 叉 
或 水 坑 等 攻击 方式 配合 社会 工程 学 手段 


APT34 

最 早 活动 时 间 : 2014 

公开 披露 时 间 : 2016 

其 针对 中 东 地 区 实施 攻击 ， 攻 击 目标 
包括 金融 、 政 府 、 能 源 、 化 工 和 电 
信 等 行业 。 该 组 织 过 去 以 APT34 和 


APT33 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2017 

APT33 是 FireEye 披露 的 APT 组 织 ， 
攻击 目标 包括 美国 、 沙 特 阿 拉 伯 和 韩 
国 ， 主 要 针对 航空 和 能 源 领 域 实 施 攻 


| 进行 渗透 ， 向 政府、 金融、 媒体、 能源、 OilRig 两 个 不 同 的 名 称 分 别 进行 追踪 
Y “军事 等 特定 目标 人 群 进行 攻击 Y 分 析 


B20 Sa 72020 7220 


MuddyWater 诺 崇 师 利刃 座 

最 早 活动 时 间 : 2017 最 早 活动 时 间 : 2013 最 早 活动 时 间 : 2019 

公开 披露 时 间 : 2017 公开 披露 时 间 : 2020 公开 披露 时 间 : 2020 

主要 针对 中 东 实 施 网 络 间谍 活动 ， 也 为 奇 安信 披露 的 组 织 ， 活 跃 在 中 东 该 组 织 针对 “伊斯兰 国 ”、 基 地 组 织 、 
针对 欧洲 和 北美 国家 。 其 攻击 目标 包 地 区 ， 一 直 持 续 针 对 阿拉 伯 语 用 户 库尔德 族群 和 土库曼 族群 进行 持续 攻 
括 电 信 、 政 府 (IT 服务 ) 和 石油 部 门 。 进行 攻击 ， 旨 在 让 被 攻击 者 的 社交 击 控制 活动 

主要 使 用 基于 PowerShel| 的 初始 阶 平台 账号 变 成 “沉默 账号 ” 
段 后 门 ， 也 被 称 为 POWERSTATS 


击 活动 


SA 


人 


和 


v 


会 表 3.11 中 东 地 区 主要 APT 组 织 简介 


”APT 组 织 : 双 尾 蝎 


双 尾 蝎 组 织 ， 是 自 2016 年 5 月 起 长 期 针对 巴勒斯坦 的 攻击 组 织 。2020 年 ， 奇 安信 威胁 情报 中 心 多 次 公 
开 披露 该 组 织 在 Windows 和 Android 双 平 台 上 新 的 攻击 样本 。 新 的 样本 较 以 往 的 代码 结构 ， 通 信 方 式 
未 发 生 较 大 改变 ， 依 旧 习 惯 采用 人 名 等 作为 指令 ，C2 服务 器 路 径 也 变化 不 大 。 同 时 ， 也 有 国外 安全 机 
构 披 露 了 该 组 织 新 的 Python 后 门 。 


" APT 组 织 : Muddywater 


老牌 APT 组 织 Muddywater、APT33、APT34 依旧 是 中 东 地 区 三 个 比较 活跃 的 组 织 ， 但 由 于 其 攻击 武器 
库 泄 露 ， 这 些 组 织 似乎 都 开始 进行 攻击 手法 、 武 器 工具 集 的 更 新 。 结 合 公开 情报 ， 我 们 整理 了 中 东 地 区 
2020 年 的 主要 攻击 活动 如 表 3.12 所 示 。 
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一- 2020/01/09 


披露 来 源 : ClearSky 
APT 组 织 : APT34 


APT34 使 用 的 新 的 基 
于 PowerShell 的 攻击 
程序 PowDesk 


3) 2020/06129 


披露 来 源 : 思科 

APT 组 织 : StrongPity 
StrongPity 组 织 扩 大 攻 
击 范围 ， 开 始 针 对 哥 伦 
比 亚 ， 印 度 ， 加 拿 大 和 
越南 开展 攻击 活动 


GEZIIE9 


披露 来 源 : Palo Alto 
APT 组 织 : OilRIg 


针对 中 东 电 信和 组 织 的 攻 
击 活动 


3) 2020/12109 


披露 来 源 : 360 


APT 组 织 : Domestic Kitten 


Domestic Kitten 伪装 为 
居 和 鲁 士 大 帝 等 相关 APP 
针对 中 东 的 攻击 活动 


会 表 3.12 2020 中 东 APT 组 


0 


(2) 2020/02/12 
披露 来 源 : Telsy 
APT 组 织 : APT33 


APT33 开发 的 新 的 .Net 
载荷 程序 POWERBAND 


[3) 2020/05/19 
披露 来 源 : 赛 门 铁 克 
APT 组 织 : OilRig 
针对 南亚 电信 运营 商 的 
攻击 活动 


GEZIIEB 


披露 来 源 : ClearSky 
APT 组 织 : APT35 


攻击 者 伪装 为 德国 之 声 
和 犹太 日 报 的 攻击 活动 


(2) 2020/11/30 
披露 来 源 : 奇 安信 
APT 组 织 : 利刃 座 
在 移动 端 针 对 中 东 地 区 
的 攻击 活动 


织 热点 攻击 活动 


二 7 
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GEZIDIB 


披露 来 源 : ClearSky 
APT 组 织 : Fox Kitten 


持续 三 年 的 攻击 活动 ， 


疑似 与 APT33、APT34 


存在 联系 


3) 2020/04/19 


披露 来 源 : 启明 星辰 
APT 组 织 : APT34 


APT34 更 新 其 后 门 工具 
TONEDEAF 


GEZIDIB 


披露 来 源 : CheckPoint 
APT 组 织 : Rampant Kitten 


针对 伊朗 侨民 和 不 同 政 
见 者 的 攻击 活动 


3) 2020/10129 


披露 来 源 : 360 


APT 组 织 : StrongPity 


针对 我 国境 内 重要 机 构 
的 攻击 活动 


(2s) 2020/02/28 
披露 来 源 : 奇 安信 
APT 组 织 : 诺 崇 狮 
利用 社交 网 络 (如 Twitter 
Telegram、Youtube 等 ) 
进行 非 定向 的 水 坑 传播 式 
钓鱼 攻击 及 定向 目标 的 鱼 
叉 攻 击 ， 并 主要 针对 移动 
终端 实施 攻击 


:3) 2020J03/02 


披露 来 源 : Yoroi 
APT 组 织 : APT34 


针对 黎巴嫩 政府 的 攻击 
活动 , 并 更 新 了 Karkoff 
载荷 


0) 2020/10/19 
披露 来 源 : 奇 安信 
APT 组 织 : 双 尾 蝎 
利用 伪造 社交 软件 等 针 
对 多 平台 的 攻击 活动 


GEZIZB 


披露 来 源 : Telsy 

APT 组 织 : Muddywater 
伪装 为 知名 公司 招聘 针 
对 航空 领域 的 攻击 活动 


邮箱 : ti_support@qianxin.com 


E: 


电话 : 4009-303-120 


官网 : https://ti.qianxin.com 
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其 他 地 区 的 组 织 与 行动 
Other areas in World 


南美 、 北 非 等 地 区 的 APT 活动 也 比较 活跃 ， 但 往往 容易 被 忽视 。 奇 安信 披露 的 南美 地 区 APT 组 织 “ 盲 
眼 磨 ” 自 2018 年 起 ， 持 续 针对 哥伦比亚 地 区 开展 攻击 活动 。 同 时 ， 国 内 安全 公司 也 披露 了 一 个 北非 地 
区 的 APT 组 织 一 北非 狐 ， 该 组 织 主 要 针对 阿拉 伯 地 区 开展 攻击 活动 。 


2020 年 ， 雇 佣 军 性 质 的 高 级 威胁 组 织 正在 成 为 趋势 ， 这 些 组 织 拥 有 近乎 APT 组 织 的 高 级 攻击 技术 ， 并 
会 党 试制 作 与 公开 已 知 的 APT 组 织 相关 联 的 假 旗 ， 通 常 侧重 于 企业 间谍 活动 。2020 年 ， 国 外 安全 机 构 
商 披露 了 包括 Deathstalker、RedCurl、CostaRicto 在 内 的 多 个 雇佣 军团 体 的 相关 活动 。 奇 安信 威胁 情 
报 中 心 整理 上 述 组 织 的 相关 简介 ， 如 表 3.14 所 示 。 


2019 2020 2020 
盲 眼 座 北非 狐 
最 早 活动 时 间 : 2018 最 早 活动 时 间 : 2017 
公开 披露 时 间 : 2019 公开 披露 时 间 : 2020 
从 2018 年 4 月 起 至 今 ， 一 个 疑似 来 自 “， 针对 阿拉 伯 语 地 区 的 长 达 三 年 的 多 
南美 洲 的 APT 组 织 言 眼 让 (APTC36) 。 ， 次 网 络 攻击 活动 ， 攻 击 平台 主要 为 
针对 哥伦比亚 政府 机 构 和 大 型 公司 ( 金 ”， Windows 和 Android 
融 、 石 油 、 制 造 等 行业 ) 等 重要 领域 民 
开 了 有 组 织 、 有 计划 、 针 对 性 的 长 期 不 


间断 攻击 


RedCurl 
最 早 活动 时 间 : 2018 
公开 披露 时 间 : 2020 


RedCurl 的 主要 目标 是 从 受害 者 的 基 
础 设施 和 企业 电子 邮件 中 窃取 文档 


DeathStalker 

最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2020 

针对 事务 所 和 金融 公司 , 提供 出 租 服 
务 . 该 组 织 采 用 基于 PowerShelll 的 
Powersing 的 工具 . 该 组 织 的 攻击 目 
标 可 能 是 根据 目标 价值 或 者 客户 要 求 
选择 目标 


和 
i 


i 


CostaRicto 

最 早 活动 时 间 : 2020 

公开 披露 时 间 : 2020 

雇佣 组 织 , 目标 集中 在 东南 亚 地 区 ， 
主要 针对 金融 行业 开展 攻击 活动 


人 
二 一 一 


会 表 3.14 其 他 地 区 主要 APT 组 织 简 介 
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第 四 章 针对 中 国 高 级 持续 性 威胁 


2020 年 ， 中 国 首 次 超过 美国 、 韩 国 、 中 东 等 国家 和 地 区 ， 成 为 全 球 APT 活动 的 首要 地 区 性 目标 。 本 章 
主要 就 2020 年 针对 中 国 的 高 级 持续 性 威胁 活动 进行 独立 的 整理 和 分 析 。 


2020 年 , 奇 安信 威胁 情报 中 心 追踪 了 若干 起 针对 中 国 的 重大 APT 组 织 攻 击 活动 , 其 中 主要 以 东亚 、 南 亚 、 
东南 亚 三 个 方向 的 APT 组 织 为 主 。 


一 、 东 亚 地 区 组 织 对 中 国 的 攻击 活动 


2020 年 ， 名 为 毒 云 芯 的 华语 APT 组 织 持 续 性 出 击 ， 制 造 了 大 量 仿 冒 网 站 进行 钓鱼 。 奇 安信 威胁 情报 中 
心 将 此 系列 活动 命名 为 血 黄 草 行动 。 


在 2020 年 年 初 ， 血 黄 草 行动 主要 以 伪造 国内 多 款 知名 邮箱 服务 的 网 盘 网 站 为 主 ， 并 且 结 合 疫情 进行 诱 
饵 的 构造 ， 主 要 钓鱼 模式 为 : 当 受 害 者 输入 邮箱 账号 密码 ， 网 站 会 自动 跳 转 至 恶意 文件 下 载 页 面 。 


在 2020 年 年 中 ， 血 黄 草 行动 开始 转向 更 具 针 对 性 的 攻击 ， 主 要 分 为 三 种 攻击 类 型 : 钓鱼 网 站 钓鱼 、 诱 
饵 引诱 钓鱼 和 恶意 附件 式 鱼 叉 攻 击 。 根 据 奇 安信 威胁 情报 中 心 监测 ， 血 黄 草 行 动 中 伪装 了 多 个 具备 东北 
亚 地 区 特色 的 角色 ， 如 智库 类 目标 、 军 民 融 合 产业 园 、 军 事 杂 志 、 公 务 员 类 猎头 公司 ， 等 等 。 


在 2020 年 年 末 ， 血 黄 草 行 动 开始 针对 我 国 高 校 和 科研 机 构 进 行 仿冒 钓鱼 攻击 ， 并 且 出 现 批量 注册 批量 
仿冒 的 现象 。 


此 外 ， 值 得 注意 的 是 ， 通 过 分 析 发 现 ， 血 黄 草 行动 中 存在 创新 性 的 攻击 方法 : 传统 模式 中 ， 攻 击 者 主要 


通过 诱骗 目标 ， 使 其 点 击 恶意 程序 ， 之 后 自行 设法 获取 情报 信息 。 而 新 的 攻击 方式 主要 体现 在 ， 攻 击 者 
通过 诱骗 目标 ， 使 之 通过 “回复 信息 ”的 方式 ， 主 动 将 敏感 情报 发 送 给 攻击 者 。 


二 、 南 亚 地 区 组 织 对 中 国 的 攻击 活动 
南亚 APT 组 织 针对 我 国 的 攻击 贯穿 2020 年 全 年 ， 并 且 不 同 的 APT 组 织 存在 不 同 的 职能 。 


在 2020 年 年 初 ， 摩 订 草 (PatchWork) 在 疫情 出 现 开始 就 持续 制造 诱饵 针对 我 国 进行 攻击 ， 制 造 诱 饵 
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包括 返 乡 登记 表 等 。 


而 响尾蛇 (Sidewinder) 、 萝 灵 花 (Bitter) 、 魔 罗 梢 组 织 的 攻击 则 是 贯穿 全 年 。 其 中 ， 蔓 灵 花 (Bitter) 
和 广 罗 检 组 织 既 会 制造 钓鱼 仿冒 网 站 , 又 会 生成 PC 和 移动 端的 木马 进行 攻击 , 两 者 都 主要 针对 政府 机 构 、 
军工 企业 、 核 能 行业 、 商 贸 会 议 、 通 信 运 营 商 等 进行 攻击 。 

而 响尾蛇 (Sidewinder) 则 有 所 不 同 ， 其 沿用 以 前 的 攻击 框架 ， 并 融入 IE Nday 漏洞 来 针对 高 校 进行 攻 
击 ， 具 有 一 定 的 创新 性 。 


在 2020 年 年 未 ， 墓 灵 花 (Bitter) 组 织 集中 发 起 了 一 次 大 型 钓鱼 活动 ， 主 要 围绕 我 国外 交 单 位 进行 “ 邮 
件 + 钓鱼 仿冒 网 站 ”的 攻击 ， 同 时 邮件 和 网 站 主题 涉及 多 个 热门 主题 ， 如 疫情 、 直 播 、 服 务 维护 和 异常 、 
外 交 文 件 等 ， 极 具 诱惑 性 。 


三 、 东 南亚 地 区 组 织 对 中 国 的 攻击 活动 


海 莲花 组 织 在 2020 年 依旧 针对 我 国 海洋 、 油 气 类 行业 和 政府 单位 进行 攻击 ， 除 此 之 外 ， 其 还 开始 针对 
我 国 互联 网 和 软件 公司 进行 攻击 。 


海 莲花 组 织 在 2020 年 转变 了 攻击 思路 。 该 组 织 大 幅 降低 了 使 用 鱼 叉 邮 件 攻击 的 频率 ， 转 而 采取 网 络 渗 
透 的 方式 〈 例 如 VPN) 进行 入 侵 ， 并 在 入 侵 到 内 网 后 进行 一 系列 的 持久 化 与 横向 移动 操作 。 


奇 安 信 威 胁 情报 中 心 监 测 发 现 ， 海 莲花 组 织 挖掘 了 数 十 个 国产 软件 的 “和 白 利 用 ”， 并 将 其 用 于 内 网 渗透 
过 程 中 。 在 内 网 渗透 过 程 中 ， 该 组 织 会 记录 每 台 控 制 的 主机 信息 ， 生 成 日 志 并 进行 回 传 ， 从 而 方便 进行 
下 一 步 的 横向 移动 。 


此 外 ， 与 往年 不 同 的 是 ，2020 年 海 莲花 组 织 开始 积极 使 用 Nday 漏洞 进行 攻击 ， 这 些 漏洞 平日 不 会 被 人 
关注 到 ， 漏 洞 修复 率 低 ， 因 此 在 制造 出 漏洞 exp 后 ， 其 可 以 进行 批量 入 侵 获 取 权 限 。 


除了 捕获 到 海 莲 花 积极 利用 Nday 漏洞 攻击 活动 外 ， 奇 安信 威胁 情报 中 心 在 2020 年 还 捕获 到 该 组 织 使 
用 0day 漏洞 进行 内 网 渗透 攻击 活动 ， 从 该 活动 发 现 ， 当 海 莲 伦 遇 到 高 价值 目标 时 ， 其 会 针对 该 目标 的 
内 网 情况 进行 重新 研判 ， 并 挖掘 内 网 常用 软件 0day 漏洞 进行 更 深层 次 的 渗透 。 


从 2020 年 海 莲花 组 织 整体 攻击 能 力 来 看 ， 其 攻击 能 力 开始 逐渐 向 威胁 等 级 三 星 的 APT 组 织 靠 拢 ， 隐 藏 
攻击 入 口 的 能 力 大 大 增强 ， 未 来 将 更 难 发 现 该 组 织 完整 攻击 链条 。 
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第 五 章 APT 活 动 的 技术 趋势 


本 章 主要 结合 2020 年 奇 安信 威胁 情报 中 心 的 APT 活动 监测 与 分 析 ， 给 出 当下 流行 的 APT 活动 技术 趋势 
分 析 。 


一 、0day、1day 与 APT 威胁 


0day 漏洞 一 直 是 作为 实施 APT 攻击 的 重要 利器 ， 无 论 是 影子 经 纪 人 黑客 组 织 泄露 的 方程 式 武器 库 中 曝 
光 的 大 量 的 0day 漏洞 利用 装备 ， 还 是 维基 解密 披露 的 某 情报 机 构 用 于 管理 的 针对 Android 和 iOS 的 漏 
洞 利用 列表 文档 ， 都 展示 了 0day 漏洞 或 成 熟 的 漏洞 利用 链 是 实施 网 络 攻击 利用 的 关键 能 力 。 


我 们 整理 了 2020 年 用 于 在 野 攻击 活动 的 0day/1da y 漏洞 列表 ( 见 表 5.1) 。 相 较 于 2019 年 ，2020 年 
被 捕获 的 在 野 0day 漏洞 中 并 不 存在 严格 意义 上 的 文档 类 型 漏洞 ， 而 针对 浏览 器 的 远程 代码 执行 漏洞 成 
为 主流 趋势 ， 这 一 类 的 攻击 中 常常 伴随 着 新 的 提 权 漏洞 以 用 于 浏览 器 阔 盒 逃 逸 。 


值得 注意 的 是 ， 攻 击 者 选用 的 漏洞 目标 逐渐 从 Windows 下 的 原生 浏览 器 ， 向 Chrome、Firefox 等 用 
户 量 更 大 的 浏览 器 转移 ， 而 受 影响 的 也 依旧 集中 在 浏览 器 的 脚本 引擎 上 ， 如 Windows 下 的 Jscript、 
Jscript9 及 Chrome 中 的 V8。 如 果 用 一 句 话 来 总 结 2020 年 的 在 野 0day 利用 情况 , 我 们 愿 称 之 为 "Chrome 
漏洞 利用 年 ”。 


表 5.1 列 出 了 2020 年 ， 被 APT 组 织 利 用 最 多 的 漏洞 列表 。 


漏洞 编号 影响 目标 是 否 0day 是 否 在 野 利用 相关 组 织 
CVE-2019-17026 FireFox 是 是 Darkhotel 
CVE-2020-0674 IE Jscript 是 是 Darkhotel 
CVE-2020-0601 证 书 欺 骗 否 是 未 知 
CVE-2020-6418 Chrome V8 是 是 未 知 
CVE-2020-8467 Apex One/OfficeScan 是 是 未 知 
CVE-2020-8468 Apex One/OfficeScan 是 是 未 知 


会 表 5.1 2020 年 重点 0day/1day 漏洞 列表 
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DarkHotel 就 是 一 个 长 期 使 用 浏览 器 类 0day 漏洞 进行 水 坑 攻 击 的 APT 组 织 。 该 组 织 通过 入 侵 目 标 常用 
漏洞 编号 影响 目标 是 否 组 织 本 <E i pw i a Sa pi i ee a 
i fa Sa Ea 网 站 ， 将 漏洞 利用 代码 嵌入 网 站 ， 当 攻击 目标 访问 网 站 后 ， 通 过 判断 目标 的 浏览 器 版 本 下 发 不 同 的 漏洞 
CVE-2020-0796 Windows SMB 否 是 未 知 利用 代码 ， 获 取 到 初始 权限 后 便 会 采取 各 种 手段 进行 提 权 操作 。 
CVE-2020-6819 FireFox 是 是 未 知 
2020 年 以 来 ， 该 组 织 使 用 了 多 种 浏览 器 0day 漏洞 发 起 攻击 。 下 面 我 们 将 根据 漏洞 发 现 的 时 间 线 来 依次 
CVE-2020-6820 FireFox 时 证 未 知 
展示 : 
CVE-2020-0938 Windows 提 权 是 是 未 知 
CVE-2020-1020 Windows 提 权 是 是 未 知 ”2020 年 2 月 6 日， 利用 两 个 浏览 器 的 0day 漏洞 〈 火 狐 浏览 器 : CVE-2019-17026; IE 浏览 器 : CVE- 
CVE-2020-1027 Windows 提 权 是 是 未 知 2020-0674) 针对 中 国 发 起 的 APT 攻击 ， 过 程 中 还 涉及 该 组 织 以 往 拥 有 的 0day 漏洞 武器 : JavaScript 
、 引擎 jscript.dll 中 的 漏洞 CVE-2019-1367、CVE-2019-1429、CVE-2019-0676、CVE-2018-8653 等 。 
CVE 2020-12271 SQL 注入 是 让 未 知 
Ne wb 是 是 二 。 2020 年 4 月 ， 利 用 某 VPN 服务 器 0day 漏洞 针对 中 国 机 构 进行 攻击 。 
CVE 2020-15505 Mobilelron 否 是 未 知 
本 Ee 襄 星 大 ” 2020 年 5 月 ， 发 起 PowerFall 攻击 活动 ， 使 用 IE 11 浏览 器 JS 引擎 的 jscript9.dll 的 0day 漏洞 
二 CVE-2020-1380， 并 结合 Windows 权限 提升 漏洞 CVE-2020-0986 漏洞 进行 攻击 。CVE-2020-0986 漏洞 
CVE-2020-0968 IE Jscript 否 是 多 米 诺 行动 - Se 
被 认为 是 CVE-2019-0880 漏洞 的 衍生 版 本 。 
CVE-2020-1472 Windows 否 是 Muddy Wtaer 
CVE-2020-15999 Chrome 是 是 未 知 " 在 2020 年 ， 奇 安信 红 雨 滴 团 队 对 Darkhotel 利用 多 款 浏览 器 漏洞 的 行为 进行 了 监控 ， 发 现 该 组 织 针 
CVE-2020-17087 Windows 提 权 是 是 未 知 对 多 个 国内 重要 机 构 的 内 部 系统 管理 页 面 植 入 0day 漏洞 利用 代码 以 执行 水 坑 攻 击 ， 进 而 控制 系统 管理 
员 的 计算 机 以 实施 更 广泛 的 入 侵 及 横向 移动 。 我 们 还 原 的 整个 攻击 流程 如 下 。 
CVE-2020-16009 Chrome 二 是 未 知 
CVE-2020-16010 Chrome 是 是 未 知 系列 活动 1 ( 见 图 5.1) : 
CVE-2020-27930 iOS 是 是 未 知 CO 
-2020- i 是 是 获取 更 多 重点 个 
CVE-2020-27950 iOS 未 知 ON Ce 
; 二 系统 管理 员 
CVE-2020-27932 i0S 是 是 未 知 (4) 被 攻击 者 控制 
是 是 入 侵 重 要 机 构 系统 系统 管理 员 访问 
CVE-2020-16013 Chrome 未 知 后 台 植 入 IE 0day 漏洞 Er ; 四 
CVE-2020-16017 Chrome 法 是 未 知 一 (D >” G) 四 
坑 攻击 : 触发 IE0d 
CVE-2020-4006 VMware 是 是 未 知 DarkHotel 内 部 系统 "EY 系统 管理 员 
后 台 页 面 (受害 者 管理 的 更 多 重点 资产 ) 
入 侵 更 多 | 
重要 网 络 资产 DEC 所 | 下 
CE 
DarkHotel 的 0day 漏洞 在 野 利用 -一 一 
: 重点 资产 1 重点 资产 2 重点 资产 N | 
在 面 对 高 价值 目标 时 ，APT 组 织 会 毅然 决然 地 使 用 0day 漏洞 利用 ， 而 值得 注意 的 是 ， 一 旦 攻击 组 织 使 
用 0day 漏洞 作为 攻击 入 口 ， 那 么 其 后 续 使 用 的 提 权 漏洞 同 为 0day 漏洞 的 概率 极 高 。 全 图 5.1 Darkhotel 组 织 针对 国内 重点 机 构 网 站 植 入 0day 漏洞 代码 
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系列 活动 2 〈 见 图 5.2) : 


_@ (9)) oN 
愉 客 发 送 带 有 恶 A 非 


C2 


意 附 件 链接 的 邮件 标 用 户 © 
QD Xxxxx.com/ 
党 
当 


浏览 器 漏洞 + 
MediaPlayer DLL 劫持 | 总 


| QQ 
0 医 -四 诱 包 文 档 EXE 
邮件 内 容 诱导 加 载 人 一 六 (0) Ce 


点 击 恶 意 链接 
HTML 
一 一 一 下 载 xxxdll 
和 Xoooxexe 
访问 
漏洞 页 面 请 求 


本 二 四 
xxxx.html xxx.com 


目标 用 户 


Pp 
内 


辐 5.2 Darkhotel 组 织 利 用 我 国 某 浏览 器 0day 漏洞 进行 针对 性 的 钓鱼 攻击 


而 由 于 之 后 CVE-2020-0674 EXP 的 泄露 ， 其 被 多 个 相关 APT 组 织 使 用 ， 如 南亚 响尾蛇 组 织 通过 投放 亚 
意 文 档 ， 运 用 模板 注入 的 方式 ， 结 合 CVE-2017-0199 漏洞 下 载 hta 脚本 ， 而 该 脚本 还 装载 有 CVE-2020- 
0674 的 漏洞 利用 代码 ， 基 于 此 进行 了 漏洞 利用 攻击 。 


不 同 产品 的 0day 漏洞 在 野 利用 


值得 注意 的 是 ，2020 年 出 现 的 在 野 0day 漏洞 攻击 事件 中 ， 除 了 Darkhotel 组 织 之 外 ， 其 他 攻击 活动 中 
均 未 确认 明确 的 攻击 归属 。 下 面 对 其 中 一 些 重要 的 漏洞 利用 事件 进行 说 明 。 


1) Chrome 浏览 器 0day 漏洞 在 野 利用 

总 共 涉 及 6 个 相关 被 利用 的 在 野 0day (CVE-2020-6418、CVE-2020-15999、CVE-2020-16009、CVE- 
2020-16010、CVE-2020-16013、CVE-2020-16017) ， 大 部 分 来 自 于 Google Project Zero 发 现 ， 也 是 
2020 年 被 在 野 利 用 最 多 的 目标 ， 但 是 具体 的 攻击 背景 未 知 。 


这 里 值得 一 提 的 是 CVE-2020-6418， 该 漏洞 在 野 利 用 由 Google Project Zero 发 现 ， 攻 击 者 构造 了 多 个 
用 于 水 坑 的 Web 页 面 ， 其 针对 的 目标 覆盖 Windows 及 Android 平台 ， 通 过 Chrome 漏洞 获取 执行 权 
限 ， 并 通过 Windows/Android 的 本 地 提 权 漏洞 进行 浏览 器 沙 箱 的 逃逸 ， 最 终 投递 恶意 代码 。 此 处 攻击 
活动 中 包括 一 个 Chrome 0day 漏洞 CVE-2020-6418， 及 三 个 Windows 本 地 提 权 0day 漏洞 CVE-2020- 
0938、CVE-2020-1020、 CVE-2020-1027， 其 具体 的 攻击 流程 如 图 5.3 所 示 (引用 Google Project Zero 
给 出 的 攻击 流程 图 ) 。 
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Tareting, version Initial"restricted" Additional Escaping the Payload 
detection, code execution targeting; Chrome sandbox 

environment debuggerVM, through a bug in the 

analysis etc. detection OS 


Windows privesc 


i So 
人 上 
Windows Chrome renderer Sandboxed > > | 
exploit server exploit 1 门 payload | P | 
Windows privesc | ”一 一 一 一 一 一 
Affected 全 Same Not: on Windows, the exploit | exploit 2 Not:the Windows exploit server 
website 1 vulnerabiliyt, server doesn't deliver the was shut down before we could 
”but different privesc until after this point extract the implant 
platform 
Actor injectss two 
A separate iframes h 
VS that don't interact C lome mengeieg ) 
exploit 2 
Android privesc 
exploit 1 
< Chrome renderer ~ 
Sh Mplolt3 Seo 
Android a > but diff CE Android privesc |— NN 3 
让 [ > > but differen > it2 Android implant 
exploit server yy browser | [eploi 多 
Chrome renderer version 


exploit4 


Android privesc 
exploit7 


Chrome renderer 
exploit 9 


会 图 5.3 Google Project Zero CVE-2020-6418 攻击 事件 流程 


网 


2) 火狐 浏览 器 0day 漏洞 在 野 利用 
总 共 涉 及 两 个 相关 被 利用 的 在 野 0day (CVE-2020-6819、CVE-2020-6820) 。 这 两 个 漏洞 由 安全 研究 员 
Francisco Alonso 及 Javier Marcos 发 现 ， 具 体 攻 击 细节 未 知 。 


3) 苹果 系统 0day 漏洞 在 野 利用 
总 共 涉 及 三 个 相关 被 利用 的 在 野 0day (CVE-2020-27930、CVE-2020-27950、CVE-2020-27932) 。 这 
三 个 漏洞 同样 来 在 Google Project Zero， 有 具体 的 攻击 者 背景 未 知 。 


4) Windows 系统 0day 漏洞 在 野 利 用 
总 共 涉 及 四 个 相关 被 利用 的 在 野 0day (CVE-2020-0938、CVE-2020-1020、CVE-2020-1027、CVE- 
2020-17087) 。 


其 中 CVE-2020-0938 由 奇 安 信 代 码 安全 实验 室 及 Google 公司 的 Project Zero and/ Threat Analysis 
Group 发 现 ， 另 外 三 个 由 Google Project Zero 发 现 。 其 中 ， Project Zero 证 实 ， 前 三 个 漏洞 被 用 于 
CVE-2020-6418 在 野 0day 的 攻击 事件 中 ， 以 实现 沙 盒 逃 逸 。 


5) 趋势 科技 披露 的 自家 产品 0day 漏洞 在 野 利用 
趋势 科技 Apex One 和 OfficeScan 在 野 0day 漏洞 (CVE-2020-8467、CVE-2020-8468) ， 是 趋势 科技 
披露 的 自家 相关 产品 漏洞 ， 上 皆 被 用 于 在 野 攻 击 ， 具 体 攻 击 背景 未 知 。 


邮箱 : ti_support@qianxin.com ”电话 : 4009-303-120 ”官网 : https://ti.qianxin.com 39 


第 五 章 APT 活动 的 技术 趋势 / 全 球 高 级 持续 性 威胁 (APT) 2020 年 度 报 告 


6) Sophos XG 防火 墙 0day 漏洞 在 野 利用 
相关 漏洞 编号 为 CVE 2020-12271。 


7) VMware 0day 漏洞 在 野 利用 

VMware 命令 注入 漏洞 (CVE-2020-4006) 。 美 国 NSA 发 布 报告 称 ， 某 具有 国家 背景 的 APT 组 织 正 在 
利用 VMware®1 Access 和 VMware Identity Manager2 产品 中 的 漏洞 ， 从 而 在 原 有 权限 的 基础 上 提升 到 
最 高 权限 ， 从 而 可 以 执行 任意 命令 。 


不 同 产品 的 1day 漏洞 利用 
以 下 几 个 1day 漏洞 都 属于 2020 年 补丁 修复 后 被 披露 ， 并 被 广泛 使 用 。 


Microsoft Exchange Control Panel (ECP) 漏洞 CVE-2020-0688， 该 漏洞 由 匿名 人 员 提 交 给 ZDI，ZDI 于 
2020 年 二 月 补丁 日 微软 修复 之 后 披露 了 有 具体 利用 细节 ， 并 于 之 后 被 大 量 使 用 。 


Zerologon (Windows CVE-2020-1472 漏洞 ) ， 该 漏洞 由 Secura 于 2020 年 9 月 补丁 日 修复 后 披露 相 
关 攻 击 细节 : 通过 Netlogon 远程 协议 〈MS-NRPC) 建立 与 域 控制 器 连接 安全 通道 时 ， 存 在 特权 提升 的 
利用 点 ， 该 漏洞 的 CVSS 高 达 10 分 (最 高 分 为 10 分 ) ， 攻 击 者 只 需要 在 内 网 中 有 一 个 立足 点 ， 就 可 以 
远程 获取 域 控 的 管理 员 权限 ， 并 于 之 后 被 MuddyWater 用 于 攻击 活动 之 中 。 


IE JScript.dll 漏 洞 (Cve-2020-0968): 多 米 诺 行 动 中 , 某 俄语 攻击 组 织 通过 RTF 文 档 进行 攻击 。 当 文档 被 打开 时 ， 
会 自动 进行 远程 网 页 加 载 ， 而 加 载 的 网 页 则 内 罕 了 CVE-2020-0968 的 漏洞 代码 ， 基 于 此 触发 远程 代码 执行 。 


SMBGhost 漏洞 (CVE-2020-0796) : 在 Windows SMBv3 版 本 的 客户 端 和 服务 端 存 在 远程 代码 执行 漏洞 。 
由 于 该 漏洞 可 以 导致 直接 远程 连接 目标 主机 ， 因 此 被 全 球 安全 研究 者 进行 分 析 ， 并 且 漏 洞 代码 已 经 在 地 
下 黑市 流通 ， 用 于 攻击 的 组 织 持续 至 今 。 


Windows CryptoAPI 欺骗 漏洞 (CVE-2020-0601) : 该 CryptoAPI 椭圆 曲线 密码 (ECC) 证 书 检测 绕 过 
漏洞 由 美国 国家 安全 局 (NSA) 上 报 ， 在 上 报 后 被 安全 研究 人 员 发 现 原 理 并 进行 方法 公布 ， 导 致 一 些 攻 
击 者 使 用 该 欺骗 方法 进行 程序 数字 签名 绕 过 ， 从 而 利用 进行 攻击 。 


Mobilelron 远程 代码 执行 漏洞 (CVE 2020-15505) : Mobilelron 是 移动 设备 管理 (MDM) 系统 提供 商 ， 
英国 国家 网 络 中 心 在 2020 年 11 月 23 日 的 通告 中 表示 ，APT 组 织 正 在 使 用 该 漏洞 攻击 英国 组 织 ， 美 国 
网 络 安全 和 基础 设施 局 (CISA) 还 指出 ， 在 一 次 APT 组 织 入 侵 中 ， 攻 击 者 还 结合 Netlogon / Zerologon 
漏洞 (CVE-2020-1472) 进行 利用 。 
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二 、 移 动 终端 场景 APT 威胁 


针对 智能 手机 是 APT 威胁 的 另 一 个 威胁 场景 ， 其 主要 的 目的 在 于 实现 监控 和 窃听 ， 并 针对 特定 的 个 人 或 
群体 。 在 以 往 的 监测 中 ，APT 活动 在 移动 端 通常 会 通过 远程 代码 执行 漏洞 、 钓 鱼 消息 或 者 将 间谍 软件 混 
入 应 用 市 场 等 方式 在 智能 手机 中 植 入 后 门 程序 , 获取 包括 短信 、 通 讯 录 、 定 位 、 文 件 、 录 音 和 录像 的 数据 。 


2020 年 ， 在 移动 终端 场景 方面 ，APT 组 织 依 旧 在 各 个 渠道 进行 投放 ， 诸 如 Telegram、GooglePlay、 
iMessage 等 ， 同 时 还 出 现 了 通过 邮件 投放 的 方式 : 例如 邮件 内 馈 一 张 二 维 码 ， 当 受害 者 通过 扫 码 后 就 
会 出 现下 载 APK 的 提示 。 


2020 年 ， 奇 安信 威胁 情报 中 心 对 外 披露 了 四 个 APT 组 织 的 移动 端 攻 击 活动 ， 其 中 两 个 是 奇 安信 威胁 情 
报 中 心 独立 发 现 并 率先 命名 的 APT 组 织 〈 庄 崇 狮 组 织 和 利刃 磨 组 织 ) 。 相 关 亚 意 软 件 主要 以 安 卓 端 为 主 ， 
但 大 部 分 代码 的 复杂 度 较 低 。 


单一 组 织 在 移动 端 方面 也 会 技术 增强 ，2020 年 南亚 APT 组 织 响尾蛇 被 发 现 利用 CVE-2019-2215 漏洞 针 
对 安 卓 终端 目标 用 户 实施 移动 APT 攻击 。 


在 移动 端 攻击 领域 还 有 一 个 霸主 : 以 色 列 网 络 军火 商 NSO Group， 其 于 2020 年 售卖 了 多 枚 “核弹 级 ” 


移动 端 应 用 的 0day 漏洞 ， 其 中 包括 在 WhatsApp、 苹 果 iMessage 中 存在 的 0day 漏洞 。 这 些 漏洞 均 被 
某 些 中 东 地 区 国家 用 于 进行 监视 行动 。 
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第 六 章 2021 年 高 级 持续 性 威胁 预测 


我 们 基于 2020 年 APT 威胁 的 态势 以 及 近年 来 APT 威胁 组 织 和 活动 的 变化 情况 对 2021 年 高 级 持续 性 威 
胁 进行 预测 。 


一 、 疫 苗 及 相关 产业 将 会 遭 到 持续 攻击 


疫情 贯穿 了 整个 2020 年 ， 直 到 2020 年 末 ， 全 球 已 有 2000 多 万 人 确诊 新 冠 肺炎 ， 其 中 确诊 人 数 趋势 依 
旧 呈 上 涨 态势 。 这 也 就 意味 着 ，2021 年 ， 疫 情 可 能 依旧 会 与 全 人 类 相伴 。 


2020 年 ， 针 对 医疗 卫生 行业 ， 特 别 是 疾 控 部 门 和 疫苗 研制 机 构 的 APT 活动 已 经 成 为 年 度 焦点 。 显 然 ， 
在 2021 年 ， 这 一 趋势 还 将 继续 。 特 别 地 ，2021 年 将 可 能 是 人 类 历史 上 第 一 次 全 球 疫 苗 大 接种 的 一 年 ， 
APT 组 织 很 有 可 能 也 会 针对 疫苗 研制 、 生 产 的 相关 机 构 发 起 持续 性 的 网 络 攻击 。 同 时 ， 疫 苗 的 相关 产业 ， 
如 疫苗 流通 ( 冷 链 设备 、 冷 链 运输 、 冷 链 流通 和 冷 链 物流 等 ) 、 疫 苗 包 装 和 原材料 供应 、 疫 苗 终端 使 用 
和 处 理 (注射 器 以 及 医疗 废物 处 理 等 ) 等 环节 ， 都 很 有 可 能 成 为 APT 组 织 关 注 焦点 。 


二 、 针 对 中 国 的 APT 行动 将 持续 加 剧 


中 国 作为 2020 年 全 球 唯一 实现 经 济 正 增 长 的 主要 经 济 体 。 面 对 世界 百年 未 有 之 大 变局 ， 中 国 的 经 济 与 
科技 发 展 ， 正 在 经 受 着 前 所 未 有 的 巨大 考验 。 


一 方面 ， 中 国 不 断 取 得 的 技术 突破 使 得 我 们 在 某 些 领域 已 经 处 于 全 球 领先 地 位 ; 另 一 方面 ， 某 些 西方 大 
国 对 部 分 中 国 科技 企业 采取 持续 的 打压 行动 。 这 两 个 方面 的 形势 , 在 2020 年 都 有 所 加 剧 。 这 也 就 意味 着 ， 
中 国 领 先 的 科研 机 构 、 科 技 企业 都 将 在 2021 年 面临 更 加 严峻 、 更 加 激烈 的 网 络 窃 密 活动 与 网 络 破坏 活动 。 
这 也 对 中 国政 企 机 构 的 网 络 安全 建设 与 运行 水 平 提 出 了 更 高 的 要 求 。 

三 、 远 程 办 公 各 个 环节 都 将 遭受 APT 攻击 


2020 年 ， 在 疫情 的 影响 下 ， 远 程 办 公 成 为 常态 ， 而 全 球 各 地 的 APT 组 织 也 随 之 展开 了 大 量 针 对 远程 办 
公 软 件 或 视频 会 议 系 统 等 的 针对 性 网 络 攻击 。 
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从 目前 的 形势 来 看 ， 疫 情 在 2021 相当 长 的 时 间 里 ,仍然 会 在 全 球 范围 内 广泛 存在 ， 远 程 办 公 的 需求 还 
会 持续 增长 。 因 此 ， 针 对 远程 办 公 的 APT 活动 也 必 将 更 加 活跃 。 特 别 地 ， 除 了 VPN 和 视频 会 议 外 ， 远 
程 办 公 的 其 他 各 个 相关 环节 都 有 可 能 成 为 APT 攻击 的 突破 口 。 


四 、 地 区 冲突 将 引爆 更 激烈 的 网 络 战 


2020，APT 攻击 活动 仍 与 地 区 冲突 紧密 相关 ， 西 亚 、 中 东 等 地 区 的 政治 、 军 事 冲 突 ， 都 引发 了 多 起 相关 
的 APT 活动 。2021 年 ， 如 果 地 区 冲突 形势 不 能 得 到 有 效 的 缓解 ， 那 么 地 区 冲突 所 带动 的 网 络 战 活动 也 
将 随 之 愈演愈烈 。 


五 、 网 络 武器 库 的 泄露 或 将 常态 化 


自从 Shadowbroker 组 织 泄 露 方程 式 组 织 网 络 武器 库 开 始 ， 越 来 越 多 的 民间 黑客 组 织 和 政府 支持 黑客 组 
织 纷纷 效仿 这 种 泄露 和 窃取 网 络 武 器 库 的 行为 。 


2020 年 上 半年 ， 某 黑客 组 织 入 侵 窃 取 并 泄露 了 中 东 某 国 网 军 的 武器 库 。2020 年 末 ， 火 眼 公司 (FirEeye) 
的 网 络 武器 库 也 被 攻击 者 窃取 。 这 些 事件 都 反映 出 一 个 共同 的 趋势 : 窃取 其 他 国家 或 组 织 的 网 络 武器 库 ， 
可 以 给 对 政 方 造成 沉重 的 打击 。 


窃取 了 网 络 武 器 库 后 ， 攻 击 者 不 仪 能 提升 自身 的 攻击 水 平 ， 还 可 以 更 好 地 隐藏 自己 的 身份 。 此 外 ， 利 用 
他 人 的 网 络 武 器 库 进 行 入 侵 ， 也 可 以 达成 隐藏 自己 并 嫁 祸 于 他 人 的 效果 。 


预计 2021 年 ， 网 络 武 器 库 依旧 会 存在 泄露 的 风险 ， 并 且 可 能 会 不 定期 地 曝光 在 大 众 视野 中 。 而 每 次 
网 络 武器 库 的 泄露 ， 都 有 可 能 伴随 这 巨大 全 球 性 网 络 安全 灾难 发 生 。2015 年 7 月， 意大利 网 络 军 火 商 
Hacking Team 武器 库 遭 窃 ， 导 致 次 年 全 球 网 络 挂 马 大 流行 ; 2017 年 3 月 ，APT 组 织 方 程式 的 武器 “ 永 
恒 之 蓝 ” 被 泄露 ， 导 致 当年 5 月 WannaCry 病毒 大 流行 ， 全 球 100 多 个 国家 的 医疗 、 交 通 、 工 业 企业 
及 公共 服务 设施 大 面积 瘫痪 。 


六 、APT 组 织 可 能 组 建 基于 56G 与 IPv6 技术 物 联网 僵尸 网 络 


近年 来 ， 有 多 篇 报告 指出 ，APT 组 织 正 在 使 用 僵尸 网 络 作为 隐藏 其 网 络 资产 的 手段 ， 例 如 ，Lazarus 组 
织 使 用 Tricbot 木马 、APT28 组 织 使 用 Dridex 和 VPNFilter 僵尸 网 络 的 资产 作为 C&C 服务 器 发 起 攻击 。 
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由 于 56G 与 IPv6 技术 的 迅速 普及 和 发 展 ， 已 经 有 APT 组 织 开 始 对 其 进行 研究 和 尝试 利用 ， 这 两 种 技术 
的 结合 利用 点 将 有 可 能 集中 在 僵尸 网 络 攻击 领域 。 


2021 年 ， 随 着 5G 与 IPv6 技术 的 进一步 普及 ，APT 组 织 将 有 可 能 通过 入 侵 大 量 使 用 了 这 些 技术 的 智能 


家 居 或 其 他 智能 设备 ， 从 而 组 建 大 型 物 联网 类 僵尸 网 络 进行 攻击 。 而 且 ， 由 于 使 用 了 5G 技术 ， 伪 尸 网 
络 中 被 穷 数据 的 回 传 速度 将 会 提升 到 毫秒 级 。 
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附录 1 全 球 主要 APT 组 织 列表 


摩 词 草 
别名 :Patchwork、 白 象 


摩 启 草 最 早 由 Norman 
安全 公司 曝光 ， 是 一 个 
来 自 于 南亚 地 区 的 境 
外 APT 组 织 , 主要 针对 
中 国 、 巴 基 斯 坦 等 亚洲 
地 区 国家 进行 网 络 间 
谍 活 动 ， 以 窃取 敏感 信 
息 为 主 。 


2013 


_@ 


Lazarus Group 
别名 :Hidden Cobra 


Lazarus Group 最 早 的 
攻击 活动 可 以 追溯 到 
2009 年 ， 包 括 针对 韩国 
的 DarkSeoul、2014 年 
攻击 SONY 事件 、2017 
年 的 WannaCry 事件 。 
近 几 年 来 , 该 组 织 的 活动 
主要 针对 全 球 金融 、 银 行 
及 加 密 货 币 交 易 相 关 的 
目标 。 


| APT29 


APT29 最 早 攻击 活动 至 
少 可 以 追溯 到 2008 年 。 
该 组 织 被 认为 从 2015 
年 夏季 就 攻击 了 美国 
DNC。 


mE. 


Molerats 
别名 :Gaza cybergang 


Molerats 是 一 个 出 于 政 
治 动机 的 威胁 组 织 , 攻击 
目标 主要 是 中 东 、 欧 洲 和 
美国 oo 


加 


Kimsuky 


Kimsuky 至 少 从 2013 
年 9 月 开始 活跃 。 该 组 织 
针对 韩国 智囊 团 等 相关 
目标 开展 攻击 活动 ， 曾 
被 认为 与 2014 年 韩国 
水 电 与 核电 公司 (Korea 
Hydro& Nuclear Power 


Co.) 被 攻击 事件 有 关 。 


谷 奇 安信 披露 的 APT 团 伙 
奇 安信 持续 跟踪 的 主要 APT 团 伙 
针对 中 国境 内 有 攻击 行为 的 APT 团 伙 


Sandworm 
别名 :BlackEnergy 


Sandworm 是 网 络 间 
谍 组 织 , 主要 针对 能 源 、 
工业 控制 系统 、 
SCADA、 政 府 和 媒体 相 
关 的 乌克兰 实体 开展 攻 
击 活 动 ;该 组 织 与 
2015 年 底 的 乌克兰 能 
源 部 门 袭击 事件 有 关 。 


APT28 


APT28 历史 攻击 活动 非 
常 频繁 , 主要 开展 网 络 间 
谍 活 动 ， 该 组 织 被 认为 
和 2016 年 美国 DNC 被 
攻击 及 干扰 美国 大 选 事 
件 有 关 。 


2014 O 


加 


Darkhotel 


Darkhotel 是 卡巴 披露 的 
APT 团伙 ， 其 早期 针对 高 
级 酒店 网 络 实施 攻击 活 
动 ， 主 要 使 用 的 攻击 手法 
为 鱼 叉 邮件 攻击 。 


Turla 拥有 非常 复杂 的 
TTP, 主要 实施 网 络 间 
谍 活 动 ， 其 前 身 可 能 和 
Moonlight Maze 有 关 。 


人 | 


| El Machete 


El Machete 疑似 一 个 熟 
悉 西 班 牙 语 并 活跃 在 拉 
美 地 区 的 APT 组 织 ， 其 
攻击 目标 主要 针对 拉美 
国家 的 政府 实体 。 该 组 织 
使 用 Python 编译 的 可 
执行 文件 并 结合 色情 图 
片 进行 诱导 攻击 。 


Energetic Bear 
别名 :Dragonfly 


Energetic Bear 疑似 网 
络 间谍 组 织 , 其 攻击 对 象 
最 初 主要 针对 国防 和 航 
空 公司 ,但 在 2013 年 初 ， 
其 攻击 目标 转移 到 能 源 、 
工控 领域 。 


O 
Cd yy 
(a 人 


奇 安信 披露 。 


毒 云 芯 

别名 : PoisonVine 

毒 云 藤 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
其 最 早 攻击 活动 可 追溯 
到 2007 年 ; 该 组 织 主 要 
针对 国内 政府 、 军 事 、 国 
防 、 科 研 等 机 构 ， 使 用 鱼 
叉 邮件 攻击 和 水 坑 攻 击 


”等 手段 来 实施 APT 攻击 。 | 


Inception 
Framework 


别名 :Cloud Atlas、 
RedOctober 


Inception Framework 
是 一 个 持续 多 年 的 APT 
组 织 , 最 初 攻击 目标 主要 
是 俄罗斯 和 东欧 地 区 ,后 
续 延 伸 至 全 球 , 主要 针对 
金融 、 能 源 、 外 交 等 领域 
开展 攻击 活动 。 该 组 织 
擅长 利用 云 服 务 和 物 联 
网 隐藏 其 控制 基础 设 
施 ， 并 且 同时 拥有 针对 


| PC 和 移动 终端 的 攻击 


工具 。 卡 巴 曾 披露 该 组 
织 与 RedOctober 行动 
有 关 。 


20N5l Eo 


苗 


| CopykKittens 


CopykKittens 是 网 络 间 
谍 组 织 , 攻击 活动 主要 针 
对 以 色 列 、 沙 特 阿 拉 伯 、 
土耳其 、 美 国 、 约 旦 和 德 
国 等 目标 。 


方程 式 


方程 式 是 一 个 拥有 全 平 
台 载 荷 攻 击 能 力 的 攻击 
组 织 ， 掌 握 多 个 0Day 
漏洞 。 


。 奇 安信 披露 


海 莲 花 


别名 :OceanLotus、APT32 


海 莲 花 是 奇 安 信 威 胁 情 
报 中 心 披露 的 APT 组 织 ， 
其 最 早 活动 可 追溯 至 
2012 年 。 该 组 织 主 要 使 
用 鱼 叉 攻击 和 水 坑 攻击 
等 攻击 手法 和 Denis 木 
马 、Cobalt Strike 等 攻击 
工具 ， 先 后 针对 中 国政 
府 、 海 事 机 构 和 东南 亚 国 


”家 等 开展 攻击 活动 。 


A 


黄金 眼 


别名 :GoldenEye、 
证 券 幽 灵 


黄金 眼 是 奇 安信 威胁 情 
报 中 心 披露 的 APT 组 织 ， 
主要 针对 国内 证 券 相 关 


行业 实施 攻击 活动 。 


- 


葛 灵 花 
别名 :BITTER 


葛 灵 花 曾 针 对 中 国 、 巴 基 


斯 坦 政府 等 相关 目标 实施 ， 


APT 攻击 。 奇 安信 威胁 情 
报 中 心 后 续 发 现 该 组 织 使 
用 InPage 漏 洞 , 并 与 
Confucius 和 摩 词 草 存在 
关联 。 


Group 123 
别名 :APT37、ScarCruft 


”Group 123 是 网 络 间谍 | 
组 织 ， 至 少 从 2012 年 开 


始 活跃 ， 曾 针对 韩国 、 中 
国 等 目标 区 域 实施 攻击 
活动 。 


2016 


加 


索 伦 之 眼 


别名 :Strider、 
ProjectSauron 


索 伦 之 眼 是 一 个 极为 复 
杂 的 网 络 间谍 平台 , 至 少 
从 2011 年 开始 活跃 ， 其 
攻击 目标 包括 俄罗斯 、 中 
国 、 瑞 典 、 比 利 时、 伊朗 和 
卢旺达 等 。 


APT34 
别名 :OilRig 
APT34 至 少 从 2014 年 


开始 针对 中 东 地 区 实施 
攻击 ， 攻 击 目标 包括 金 


融 、 政府、 能 源 、 化工 和 电 | 


信 等 行业 。 该 组 织 过 去 以 
APT34 和 OilRig 两 个 不 
同 的 名 称 被 分 别 进行 追 
踪 分 析 。 


本 


美人 鱼 


美人 鱼 行动 是 主要 针对 
欧盟 国家 政府 机 构 开 展 
的 持续 时 间 长 达 6 年 的 
网 络 间谍 活动 , 已 经 证 实 
对 丹麦 外 交 部 实施 过 攻 
击 活动 , 其 攻击 手法 主要 
使 用 水 坑 攻 击 。 


奇 安信 披露 
辽 


人 面 狮 


人 面 狮 行动 是 奇 安信 威 
胁 情 报 中 心 披露 的 APT 
攻击 活动 , 它 是 活跃 在 中 
东 地 区 的 网 络 间谍 活动 ， 
主要 目标 可 能 涉及 到 埃 
及 和 以 色 列 等 国家 的 不 
同 组 织 , 目的 是 窃取 目标 
敏感 数据 信息 ,活跃 时 间 
主要 集中 在 2014 年 6 月 
到 2015 年 11 月 期 间 , 该 
组 织 主 要 利用 社交 网 络 
进行 水 坑 攻 击 。 


| MuddyWater 


MuddyWater 最 早 被 发 现 
于 2017 年 2 月 至 10 月 期 
间 ， 针 对 中 东 实施 了 网 络 
”间谍 活动 ， 其 主要 使 用 的 
PowerShell 后 门 也 被 称 
为 POWERSTATS。 


Longhorn 
别名 :Lamberts 


Longhorn 疑似 情报 机 
构 背景 的 攻击 团伙 , 维基 
解密 于 2017 年 3 月 泄 
露 的 Vault 7 项 目 资料 曝 
光 了 其 内 部 的 网 络 武 器 
| 项 目 oo 


2017 


BlackTech 


”BlackTech 疑似 网 络 间 
谍 组 织 , 主要 针对 日 本 和 
中 国 的 台湾 、 香 港 实施 
APT 活动 , 攻击 目的 疑似 
窃取 目标 公司 的 技术 和 
证 书 , 该 组 织 常用 的 恶意 
工具 也 被 称 为 PLEAD。 


双 尾 晶 


| 别名 :Big Bang 


双 尾 蝎 是 奇 安信 威胁 情 
报 中 心 披露 的 APT 组 织 ， 

曾 对 巴勒斯坦 教育 机 
构 、 军 事 机 构 实施 APT 


| 攻击 , 攻击 范围 主要 为 中 


东 地 区 ,攻击 工具 包括 
Windows 和 Android 平 
台 , 主要 采取 鱼 叉 或 水 坑 
等 攻击 方式 配合 社会 工 


| 程 学 手段 进行 渗透 , 向 特 


定 目标 人 群 进行 攻击 。 后 


| 续 国外 安全 厂商 也 将 Big 


Bang 攻击 行动 与 双 尾 蝎 
联系 到 一 起 。 


CG 


奇 安信 披露 
< 了 


肚 脑 虫 
别名 :Donot 


肚 脑 虫 是 奇 安信 威胁 情 
报 中 心 披露 的 APT 组 织 ， 
活跃 在 南亚 地 区 , 主要 以 
巴基斯坦 为 攻击 目标 , 攻 
击 工具 主要 使 用 yty 和 
EHDevel 两 套 恶 意 软 件 
框架 ; 分 析 师 研究 发 现 
该 组 织 与 Hangover 和 
Patchwork 存在 联系 。 


《foq> 训 安 售 。 鸣 wgv 奇 安信 


| APT33 


APT33 是 FireEye 披露 
的 APT 组 织 ， 攻 击 目标 
包括 美国 、 沙 特 阿拉 伯 和 
韩国 , 主要 针对 航空 和 能 
源 领 域 实施 攻击 活动 。 


Charming Kitte 


Charming Kitte 网 络 间 
谍 组 织 ， 从 2014 年 左右 
开始 活跃 , 主要 针对 从 事 
学 术 研 究 、 人 权 和 媒体 的 
个 人 目标 开展 攻击 活动 ; 
该 组 织 在 TTP 上 和 
Magic Hound 组 织 存 在 
大 量 重 苔 。 


Gamaredon Group 


Gamaredon Group 至 
少 从 2013 年 起 活跃 , 曾 
攻击 过 乌克兰 政府 相关 
人 员 。 该 团伙 的 攻击 手 
法 与 工具 不 断 演进 : 
由 过 去 严重 依赖 于 
off-the-shelf 工具 转变 
为 自 定义 的 恶意 软件 。 
OPERATION ARMA- 
GEDDON 行动 与 该 组 织 
有 关 。 


[SO— 


Gorgon 


Gorgon 的 历史 攻击 活 
动 混 合 了 网 络 犯 罪 活 
动 和 针对 性 的 网 络 攻 
击 活动 ， 其 针对 性 网 络 
攻击 活动 与 C-Major 行 
动 、ProjectM 存在 联系 。 


黄金 鼠 


黄金 鼠 被 安全 厂商 证 实 为 
某 电子 网 军 背 景 的 APT 组 
织 , 同时 具备 Windows 和 
Android 平台 的 恶意 攻击 
能 力 。 


2018 O 


。 奇 安信 披露 


蓝 宝 菇 


蓝 宝 菇 是 奇 安 信 威 胁 情 
报 中 心 披 露 的 APT 组 织 ， 
主要 针对 国内 政府 、 军 
工 、 科 研 、 金 融 等 机 构 实 
施 APT 活动 ， 攻 击 历史 
主要 关注 核 工业 和 科研 
相关 技术 。 


| | 项 人 人 音 
| 


盲 眼 谭 


DarkHydrus 


DarkHydrus 曾 针 对 中 
东 的 政府 机 构 和 教育 机 
构 , 并 且 大 量 利用 开源 工 
具 和 自 定义 有 效 载荷 进 
行 攻击 。 


Sidewinder 


别名 :响尾蛇 


SideWinder 疑似 南亚 的 
APT 组 织 ， 曾 针对 巴 基 斯 
坦 进行 鱼 叉 式 钓鱼 邮件 
攻击 。 


别名 :ZooPark 
军刀 狮 是 卡巴 披露 的 


| 一 个 针对 中 东 目 标 实 


施 APT 攻击 的 组 织 ， 

主要 通过 Telegram 和 
水 坑 攻 击 分 发 恶意 软件 ， 
该 组 织 也 重点 针对 库 尔 
德 人 目标 实施 攻击 活动 。 


| 奇 安信 威胁 情报 中 心 持续 跟踪 
| 44 个 主要 APT 组 织 


| 黄金 雕 


黄金 雕 (APT-C-34) 的 大 
部 分 攻击 行动 主要 是 针 
对 哈萨克 斯 坦 国境 内 的 
情报 收集 任务 ， 其 中 也 


| 波及 了 我 国 驻 哈萨克 斯 


坦 境内 的 机 构 和 人 员 ， 
除了 传统 的 后 门 程序 ， 


| 黄金 雕 组 织 还 采购 了 
HackingTeam 和 NSO 
| 的 商业 间谍 软件 。 


© 


209 Eo 


盲 眼 鹰 是 奇 安信 威胁 
情报 中 心 披露 的 疑似 
南美 洲 地 区 的 APT 组 
织 ,从 2018 年 4 月 起 ， 


| 针对 哥伦比亚 政府 机 


构 和 大 型 公司 (金融 、 
石油 、 制 造 等 行业 ) 等 


| 实施 针对 性 攻击 活动 。 


的 攻击 平台 。 


虎 木林 


虎 木 样 疑似 来 自 东 北 亚 
的 APT 组 织 ， 使 用 的 恶 
意 代 码 有 着 很 强 的 隐蔽 
性 , 且 具 备 0day 漏洞 发 
据 利 用 能 力 ， 曾 通过 浏 
览 器 漏洞 攻击 国内 重点 


单位 。 


0 


拍 拍 能 


拍 拍 能 是 一 个 针对 某 武 
装 组 织 进行 持续 攻击 的 
APT 组 织 , 同时 拥有 针对 
Windows 和 Android 


诺 崇 狮 
别名 :SilencerLion 


诺 崇 狮 是 奇 安 信 威 胁 情 
报 中 心 披露 的 组 织 ， 活 
跃 在 中 东 地 区 ， 一 直 持 
续 针 对 阿拉 伯 语 用 户 、 
什 叶 派 及 评论 人 士 展开 
攻击 ， 旨 在 让 被 攻击 者 
的 社交 平台 账号 变 成 
“沉默 账号 ”。 


2020 0 


利刃 应 


利刃 谭 主 要 针对 伊斯兰 
国 、 基 地 组 织 、 库 尔 德 族 
群 和 土库曼 族群 进行 持 
续 攻 击 控制 的 活动 , 投递 
的 均 为 与 目标 相关 性 极 


| 强 的 APK 恶意 软件 ， 其 


Android 平台 。 


中 大 部 分 为 Spynote 及 
其 变种 。 


魔 罗 炒 


魔 罗 检 是 奇 安信 威胁 情 
报 中 心 披露 的 组 织 , 活跃 
在 南亚 地 区 , 一 直 持续 针 
对 中 国 、 巴 基 斯 坦 的 国 
防 、 军 工 、 外 交 等 单位 进 
行 攻击 , 擅长 制造 钓鱼 网 
站 并 配合 钓鱼 邮件 进行 
攻击 , 散布 的 恶意 软件 主 
要 针 对 Windows 和 
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附录 2 奇 安信 威胁 情报 中 心 


威胁 情报 中 心 是 奇 安 信 集 团 旗 下 专注 于 威胁 情报 收集 、 分 析 、 生 产 的 专业 部 门 ， 以 业界 领先 的 安全 大 数 
据 资 源 为 基础 ， 基 于 奇 安信 长 期 积累 的 威胁 检测 和 大 数据 技术 ， 依 托 亚太 地 区 顶级 的 安全 分 析 师 团队 ， 
通过 创新 性 的 运营 分 析 流 程 ， 开 发 威胁 情报 相关 的 产品 和 服务 ， 输 出 威胁 安全 管理 与 防护 所 需 的 情报 数 
据 ， 协 助 客户 发 现 、 分 析 、 处 置 高 级 威胁 活动 事件 。 


奇 安信 ALPHA 威胁 分 析 平 台 (https://ti.qianxin.com) ， 是 奇 安信 集团 面向 安全 分 析 师 和 应 急 响 应 团 
队 提 供 的 一 站 式 云端 服务 平台 ， 该 平台 拥有 海量 互联 网 基础 数据 和 威胁 研判 分 析 结 果 ， 为 安全 分 析 人 员 
及 各 类 企业 用 户 提 供 基 础 数据 的 查询 、 攻 击 线索 拓展 、 事 件 背 景 研判 、 攻 击 组 织 解 析 、 研 究 报 告 下 载 等 
多 种 维度 的 威胁 情报 数据 与 威胁 情报 服务 ， 提 供 全 方位 的 威胁 情报 能 力 。 


立 奇 安信 威胁 情报 中 心 对 外 服务 平台 


民 


失陷 情报 批量 查询 


针对 办 公 网 、DMZ 服 务 器 出 
化 情报 查询 


伍 伍 夫人 寅 三 我 要 评价 


微 信 公众 号 微 信 公 众 号 
奇 安 信 威 胁 情报 中 心 奇 安 信 病 毒 响应 中 心 
48 全 球 高 级 持续 性 威胁 (APT) 2020 年 度 报告 


持续 运营 奇 安信 威胁 情报 中 心 至 今 ,专注 于 APT 攻击 类 高 级 威胁 的 研究 ,是 国内 首 个 发 布 并 命名 “ 海 莲 花 
(APT-C-00，OceanLotus) APT 攻击 组 织 的 安全 研究 团队 ， 也 是 当前 奇 安信 威胁 情报 中 心 的 主力 威胁 分 
析 技 术 支 持 团队 。 


目前 ， 红 雨滴 团队 拥有 数 十 人 的 专业 分 析 师 和 相应 的 数据 运营 和 平台 开发 人 员 ， 覆 盖 威 胁 情报 运营 的 各 个 
环节 : 公开 情报 收集 、 自 有 数据 处 理 、 耿 意 代码 分 析 、 网 络 流量 解析 、 线 索 发 现 挖 气 拓展、 追踪 溯源 ， 实 
现 安全 事件 分 析 的 全 流程 运营 。 团 队 对 外 输出 机 读 威胁 情报 数据 支持 奇 安信 自 有 和 第 三 方 的 检测 类 安全 产 
品 ， 实 现 高 效 的 威胁 发 现 、 损 失 评估 及 处 置 建议 提供 ， 同 时 也 为 公众 和 监管 方 输出 事件 和 组 织 层面 的 全 面 
高 级 威胁 分 析 报 告 。 


依托 全 球 领 先 的 安全 大 数据 能 力 、 多 维度 多 来 源 的 安全 数据 和 专业 分 析 师 的 丰富 经 验 ， 红 雨滴 团队 自 
2015 年 持续 发 现 多 个 包括 海 莲花 在 内 的 APT 组 织 在 中 国境 内 的 长 期 活动 ， 并 发 布 国内 首 个 组 织 层面 的 
APT 事件 揭露 报告 , 开创 了 国内 APT 攻击 类 高 级 威胁 体系 化 揭露 的 先河 ， 已 经 成 为 国家 级 网 络 攻防 的 焦点 。 


《ktea》 


奇 安信 红 雨 滴 团 队 关注 微 信 公众 号 


“ 红 雨 滴 ” 背 后 的 故事 一 “从 100 亿 个 雨滴 中 找 一 个 红 雨 滴 ” 


2006 年 11 月 20 日 , 因 发 现 J 粒 子 而 获得 诺 贝尔 奖 的 著名 华 高 物理 学 家 丁 笔 中 教授 来 到 中 国 驻 瑞 士 大 使 馆 ， 
做 了 一 场 精彩 的 讲座 。 丁 後 中 教授 形容 自己 发 现 构成 物质 的 第 四 种 基本 粒子 一 一 J 粒子 的 高 精度 实验 时 说 
到 : “相当 于 在 北京 下 雨 时 ， 每 秒 钟 有 100 亿 个 雨滴 ， 如 果 有 一 个 雨滴 是 红色 的 ， 我 们 就 要 从 这 100 亿 个 
里 找 出 它 来 。” 

而 奇 安信 威胁 情报 中 心 高 级 威胁 分 析 团 队 同 样 需要 在 海量 数据 中 精准 找寻 那些 红色 威胁 。 最 终 ， 我 们 选择 
了 “ 红 雨 滴 ” 作 为 团队 的 名 称 。 
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